Chiến dịch veildrive: Khi tội phạm mạng lợi dụng microsoft teams, sharepoint, onedrive để phát tán phần mềm độc hại

Thứ năm - 07/11/2024 02:02
Đọc Audio    
Vào tháng 9 năm 2024, các chuyên gia bảo mật đã phát hiện một chiến dịch tấn công mạng tinh vi nhắm vào một tổ chức hạ tầng quan trọng tại Mỹ (tạm gọi là “Org C”). Theo kết quả điều tra, kẻ tấn công đã sử dụng các dịch vụ hợp pháp như Microsoft Teams, SharePoint, Quick Assist và OneDrive để gửi các email lừa đảo và lưu trữ phần mềm độc hại trên hệ thống của các tổ chức bị xâm nhập.
Chiến dịch veildrive: Khi tội phạm mạng lợi dụng microsoft teams, sharepoint, onedrive để phát tán phần mềm độc hại

Cuộc tấn công này được cho là đã bắt đầu từ tháng 8 năm 2024. Đỉnh điểm của chiến dịch là khi phần mềm độc hại dựa trên Java được triển khai, biến OneDrive thành trung tâm chỉ huy và điều khiển (C2) của cuộc tấn công.

Mánh khoé tinh vi của kẻ tấn công:

Kẻ tấn công đóng giả thành viên của nhóm IT và gửi tin nhắn qua Microsoft Teams tới nhân viên của Org C, yêu cầu họ cung cấp quyền truy cập từ xa qua công cụ Quick Assist. Điểm đáng chú ý là kẻ xâm nhập không tạo tài khoản mới mà thay vào đó sử dụng tài khoản bị đánh cắp từ một nạn nhân trước đó (tổ chức “Org A”). Điều này khiến cuộc tấn công khó bị phát hiện hơn, vì tài khoản này đã có sẵn trong hệ thống.

Tiếp đó, kẻ tấn công chia sẻ một liên kết chứa tệp ZIP qua Microsoft Teams. Tệp này chứa công cụ truy cập từ xa LiteManager cùng các phần mềm độc hại khác. Sau khi có được quyền truy cập, kẻ xâm nhập thiết lập các tác vụ định kỳ để duy trì quyền điều khiển từ xa. Một tệp ZIP khác chứa mã độc Java cũng được tải xuống và thực thi trên hệ thống bị lây nhiễm.

Chi tiết triển khai phần mềm độc hại:

Phần mềm độc hại này được thiết kế để kết nối với OneDrive bằng tài khoản Entra ID (tên trước đây là Azure Active Directory) do kẻ tấn công kiểm soát. Điều này cho phép kẻ xâm nhập gửi và thực thi các lệnh PowerShell trên hệ thống bị nhiễm thông qua Microsoft Graph API. Trong trường hợp kết nối thất bại, mã độc sẽ sử dụng giao thức HTTPS để kết nối tới máy ảo Azure của kẻ tấn công để tiếp nhận lệnh.

Mối đe dọa từ việc lạm dụng Quick Assist:

Đây không phải lần đầu tiên Quick Assist bị lợi dụng trong các cuộc tấn công. Trước đó, Microsoft từng cảnh báo về việc một nhóm tội phạm sử dụng Quick Assist để giả mạo nhân viên IT nhằm cài đặt ransomware Black Basta lên các hệ thống của nạn nhân. Sự việc này cho thấy các nhóm tội phạm mạng ngày càng lạm dụng các dịch vụ SaaS hợp pháp như SharePoint, OneDrive, và Dropbox nhằm tránh né các hệ thống giám sát và phát hiện.

Đánh giá về phần mềm độc hại VEILDrive:

Theo các chuyên gia bảo mật, phần mềm độc hại trong chiến dịch VEILDrive được đánh giá là rất tinh vi, với cấu trúc rõ ràng và không có mã ẩn. Điều này khiến nó khó bị phát hiện trong thời gian thực và thách thức cho các hệ thống bảo mật thông thường trong việc ngăn chặn.

Chiến dịch VEILDrive là lời cảnh báo rõ ràng về xu hướng mới trong các cuộc tấn công mạng, nơi các dịch vụ hợp pháp bị lạm dụng để thực hiện các hành vi phi pháp, đe dọa an ninh của các tổ chức hạ tầng quan trọng trên toàn cầu.

Tổng số điểm của bài viết là: 5 trong 1 đánh giá

Xếp hạng: 5 - 1 phiếu bầu
Click để đánh giá bài viết

  Ý kiến bạn đọc

Những tin mới hơn

Những tin cũ hơn

S
LIÊN KẾT
FANPAGE
THỐNG KÊ TRUY CẬP
  • Đang truy cập9
  • Hôm nay6,120
  • Tháng hiện tại116,802
  • Tổng lượt truy cập15,010,925
footer3 Chung nhan Tin Nhiem Mang
©  TRUNG TÂM CÔNG NGHỆ SỐ VÀ TRUYỀN THÔNG TỈNH CAO BẰNG All rights reserved
Địa chỉ: Số 062 Bế Văn Đàn, Phường Hợp Giang, Thành phố Cao Bằng, tỉnh Cao Bằng
Điện thoại: 02063 955 899  -  Email: cbitc@caobang.gov.vn
Ghi rõ nguồn http://caobangitc.vn khi phát hành lại thông tin từ địa chỉ này.
Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây