一项名为VEILDrive的持续威胁活动被发现利用微软的合法服务，包括 Teams、SharePoint、Quick Assist 和 OneDrive，作为其运作方式的一部分。

以色列网络安全公司 Hunters在一份新报告中称：“攻击者利用 Microsoft SaaS 服务（包括 Teams、SharePoint、Quick Assist 和 OneDrive），利用之前受到攻击的组织的可信基础设施来分发鱼叉式网络钓鱼攻击并存储恶意软件。”

“这种以云为中心的策略使得威胁组织能够避开传统监控系统的检测。”

Hunters 表示，它在 204 年 9 月响应了一起针对美国关键基础设施组织的网络事件后发现了这一活动。该公司没有透露该公司的名称，而是将其命名为“Org C”。

据信，此次活动始于一个月前，攻击最终导致部署了一种基于 Java 的恶意软件，该恶意软件使用 OneDrive 进行命令和控制 (C2)。

据称，此次行动背后的威胁组织冒充 IT 团队成员，向 Org C 的四名员工发送了 Teams 消息，并通过快速助手工具请求远程访问他们的系统。

这种最初的攻击方法之所以引人注目，是因为攻击者利用了潜在的先前受害者（Org A）的用户帐户，而不是为此目的创建新帐户。

亨特斯说：“Org C 的目标用户收到的 Microsoft Teams 消息是通过 Microsoft Teams 的‘外部访问’功能实现的，该功能默认允许与任何外部组织进行一对一通信。”

下一步，攻击者通过聊天分享了一个 SharePoint 下载链接，指向托管在不同租户 (Org B) 上的 ZIP 存档文件 (“Client_v8.16L.zip”)。ZIP 存档中嵌入了其他文件，其中包括另一个名为 LiteManager 的远程访问工具。

然后，通过Quick Assist（快速助手）获得的远程访问权限用于在系统上创建计划任务，以定期执行 LiteManager 远程监控和管理 (RMM) 软件。

还使用相同方法下载了第二个 ZIP 文件（“Cliento.zip”），其中包含以 Java 档案（JAR）形式存在的基于 Java 的恶意软件以及用于执行该恶意软件的整个 Java 开发工具包（JDK）。

该恶意软件旨在使用硬编码的 Entra ID（以前称为 Azure Active Directory）凭据连接到对手控制的 OneDrive 帐户，并将其用作 C2，以便通过使用 Microsoft Graph API 在受感染的系统上获取和执行 PowerShell 命令。

它还包含一个回退机制，该机制将 HTTPS 套接字初始化到远程 Azure 虚拟机，然后利用该套接字接收命令并在 PowerShell 上下文中执行它们。

这并不是 Quick Assist 程序第一次被如此利用。今年 5 月初，微软曾警告称，一个名为 Storm-1811 的以牟取经济利益的网络犯罪团伙滥用 Quick Assist 功能，假装成 IT 专业人员或技术支持人员，获取访问权限并投放 Black Basta 勒索软件。

几周前，微软还表示，它观察到有人滥用 SharePoint、OneDrive 和 Dropbox 等合法文件托管服务来逃避检测。

Hunters 表示：“这种依赖 SaaS 的策略使实时检测变得复杂，并绕过了传统防御措施。由于没有混淆，代码结构良好，这种恶意软件违背了典型的逃避设计趋势，使其具有异常的可读性和直接性。”

技术报告：https://www.hunters.security/en/blog/veildrive-microsoft-services-malware-c2

新闻链接：

https://thehackernews.com/2024/11/veildrive-attack-exploits-microsoft.html