-
09/04/2020
-
93
-
609 bài viết
Chiến dịch VEILDrive lợi dụng dịch vụ Microsoft để lẩn trốn và phát tán phần mềm độc hại
Kẻ tấn công đã sử dụng các dịch vụ như Microsoft Teams, SharePoint, Quick Assist và OneDrive để gửi các email lừa đảo và lưu trữ phần mềm độc hại trên hệ thống của các tổ chức đã bị xâm phạm.
Các chuyên gia phát hiện chiến dịch tấn công này vào tháng 9 năm 2024 khi đối mặt với một sự cố mạng nhắm vào một tổ chức hạ tầng quan trọng tại Mỹ (tạm gọi là “Org C”). Cuộc tấn công được cho là bắt đầu từ một tháng trước, đỉnh điểm là việc triển khai phần mềm độc hại dựa trên Java, sử dụng OneDrive làm trung tâm chỉ huy và điều khiển (C2).
Kẻ tấn công mạo danh là thành viên của nhóm IT, gửi tin nhắn Microsoft Teams đến nhân viên của Org C, yêu cầu quyền truy cập từ xa qua công cụ Quick Assist. Điều đáng chú ý là kẻ tấn công không tạo tài khoản mới mà dùng tài khoản thuộc một nạn nhân trước đó (gọi là “Org A”).
Tiếp theo, kẻ tấn công đã chia sẻ liên kết đến một tệp ZIP chứa công cụ truy cập từ xa LiteManager và các phần mềm độc hại khác qua Microsoft Teams. Sau khi có quyền truy cập từ xa, kẻ tấn công tạo các tác vụ định kỳ để điều khiển hệ thống từ xa. Một tệp ZIP khác chứa phần mềm độc hại Java cũng được tải về và thực thi trên hệ thống.
Phần mềm độc hại này kết nối với OneDrive bằng tài khoản Entra ID (trước đây là Azure Active Directory) do kẻ tấn công kiểm soát, giúp gửi và thực thi lệnh PowerShell trên hệ thống bị nhiễm qua Microsoft Graph API. Nếu không thành công, phần mềm độc hại sẽ tạo kết nối HTTPS tới máy ảo Azure của kẻ tấn công để nhận lệnh.
Đây không phải lần đầu Quick Assist bị lạm dụng. Trước đó, Microsoft đã cảnh báo về việc một nhóm tội phạm sử dụng Quick Assist để mạo danh nhân viên IT nhằm cài đặt ransomware Black Basta. Chiến dịch này cho thấy tội phạm mạng ngày càng lạm dụng các dịch vụ SaaS hợp pháp như SharePoint, OneDrive và Dropbox để né tránh hệ thống giám sát và phát hiện.
Các chuyên gia cho biết thêm, phần mềm độc hại trong chiến dịch VEILDrive rất tinh vi, có cấu trúc rõ ràng, không ẩn mã, khiến nó khó bị phát hiện theo thời gian thực và khó bị ngăn chặn bởi các hệ thống bảo mật thông thường.
Theo The Hacker News
Các chuyên gia phát hiện chiến dịch tấn công này vào tháng 9 năm 2024 khi đối mặt với một sự cố mạng nhắm vào một tổ chức hạ tầng quan trọng tại Mỹ (tạm gọi là “Org C”). Cuộc tấn công được cho là bắt đầu từ một tháng trước, đỉnh điểm là việc triển khai phần mềm độc hại dựa trên Java, sử dụng OneDrive làm trung tâm chỉ huy và điều khiển (C2).
Kẻ tấn công mạo danh là thành viên của nhóm IT, gửi tin nhắn Microsoft Teams đến nhân viên của Org C, yêu cầu quyền truy cập từ xa qua công cụ Quick Assist. Điều đáng chú ý là kẻ tấn công không tạo tài khoản mới mà dùng tài khoản thuộc một nạn nhân trước đó (gọi là “Org A”).
Tiếp theo, kẻ tấn công đã chia sẻ liên kết đến một tệp ZIP chứa công cụ truy cập từ xa LiteManager và các phần mềm độc hại khác qua Microsoft Teams. Sau khi có quyền truy cập từ xa, kẻ tấn công tạo các tác vụ định kỳ để điều khiển hệ thống từ xa. Một tệp ZIP khác chứa phần mềm độc hại Java cũng được tải về và thực thi trên hệ thống.
Phần mềm độc hại này kết nối với OneDrive bằng tài khoản Entra ID (trước đây là Azure Active Directory) do kẻ tấn công kiểm soát, giúp gửi và thực thi lệnh PowerShell trên hệ thống bị nhiễm qua Microsoft Graph API. Nếu không thành công, phần mềm độc hại sẽ tạo kết nối HTTPS tới máy ảo Azure của kẻ tấn công để nhận lệnh.
Đây không phải lần đầu Quick Assist bị lạm dụng. Trước đó, Microsoft đã cảnh báo về việc một nhóm tội phạm sử dụng Quick Assist để mạo danh nhân viên IT nhằm cài đặt ransomware Black Basta. Chiến dịch này cho thấy tội phạm mạng ngày càng lạm dụng các dịch vụ SaaS hợp pháp như SharePoint, OneDrive và Dropbox để né tránh hệ thống giám sát và phát hiện.
Các chuyên gia cho biết thêm, phần mềm độc hại trong chiến dịch VEILDrive rất tinh vi, có cấu trúc rõ ràng, không ẩn mã, khiến nó khó bị phát hiện theo thời gian thực và khó bị ngăn chặn bởi các hệ thống bảo mật thông thường.
Theo The Hacker News
Chỉnh sửa lần cuối: