Chiến dịch veildrive: Khi tội phạm mạng lợi dụng microsoft teams, sharepoint, onedrive để phát tán phần mềm độc hại

Cuộc tấn công này được cho là đã bắt đầu từ tháng 8 năm 2024. Đỉnh điểm của chiến dịch là khi phần mềm độc hại dựa trên Java được triển khai, biến OneDrive thành trung tâm chỉ huy và điều khiển (C2) của cuộc tấn công.

Mánh khoé tinh vi của kẻ tấn công:

Kẻ tấn công đóng giả thành viên của nhóm IT và gửi tin nhắn qua Microsoft Teams tới nhân viên của Org C, yêu cầu họ cung cấp quyền truy cập từ xa qua công cụ Quick Assist. Điểm đáng chú ý là kẻ xâm nhập không tạo tài khoản mới mà thay vào đó sử dụng tài khoản bị đánh cắp từ một nạn nhân trước đó (tổ chức “Org A”). Điều này khiến cuộc tấn công khó bị phát hiện hơn, vì tài khoản này đã có sẵn trong hệ thống.

Tiếp đó, kẻ tấn công chia sẻ một liên kết chứa tệp ZIP qua Microsoft Teams. Tệp này chứa công cụ truy cập từ xa LiteManager cùng các phần mềm độc hại khác. Sau khi có được quyền truy cập, kẻ xâm nhập thiết lập các tác vụ định kỳ để duy trì quyền điều khiển từ xa. Một tệp ZIP khác chứa mã độc Java cũng được tải xuống và thực thi trên hệ thống bị lây nhiễm.

Chi tiết triển khai phần mềm độc hại:

Phần mềm độc hại này được thiết kế để kết nối với OneDrive bằng tài khoản Entra ID (tên trước đây là Azure Active Directory) do kẻ tấn công kiểm soát. Điều này cho phép kẻ xâm nhập gửi và thực thi các lệnh PowerShell trên hệ thống bị nhiễm thông qua Microsoft Graph API. Trong trường hợp kết nối thất bại, mã độc sẽ sử dụng giao thức HTTPS để kết nối tới máy ảo Azure của kẻ tấn công để tiếp nhận lệnh.

Mối đe dọa từ việc lạm dụng Quick Assist:

Đây không phải lần đầu tiên Quick Assist bị lợi dụng trong các cuộc tấn công. Trước đó, Microsoft từng cảnh báo về việc một nhóm tội phạm sử dụng Quick Assist để giả mạo nhân viên IT nhằm cài đặt ransomware Black Basta lên các hệ thống của nạn nhân. Sự việc này cho thấy các nhóm tội phạm mạng ngày càng lạm dụng các dịch vụ SaaS hợp pháp như SharePoint, OneDrive, và Dropbox nhằm tránh né các hệ thống giám sát và phát hiện.

Đánh giá về phần mềm độc hại VEILDrive:

Theo các chuyên gia bảo mật, phần mềm độc hại trong chiến dịch VEILDrive được đánh giá là rất tinh vi, với cấu trúc rõ ràng và không có mã ẩn. Điều này khiến nó khó bị phát hiện trong thời gian thực và thách thức cho các hệ thống bảo mật thông thường trong việc ngăn chặn.

Chiến dịch VEILDrive là lời cảnh báo rõ ràng về xu hướng mới trong các cuộc tấn công mạng, nơi các dịch vụ hợp pháp bị lạm dụng để thực hiện các hành vi phi pháp, đe dọa an ninh của các tổ chức hạ tầng quan trọng trên toàn cầu.