Kampanye ancaman yang sedang berlangsung dijuluki VEILDrive telah diamati memanfaatkan layanan sah dari Microsoft, termasuk Teams, SharePoint, Quick Assist, dan OneDrive, sebagai bagian dari modus operandinya.
“Memanfaatkan layanan SaaS Microsoft – termasuk Teams, SharePoint, Quick Assist, dan OneDrive – penyerang mengeksploitasi infrastruktur tepercaya dari organisasi yang sebelumnya disusupi untuk mendistribusikan serangan spear-phishing dan menyimpan malware,” kata perusahaan keamanan siber Israel Hunters dalam laporan barunya.
“Strategi cloud-centric ini memungkinkan pelaku ancaman menghindari deteksi oleh sistem pemantauan konvensional.”
Hunters mengatakan pihaknya menemukan kampanye tersebut pada bulan September 204 setelah menanggapi insiden dunia maya yang menargetkan organisasi infrastruktur penting di Amerika Serikat. Perusahaan tersebut tidak mengungkapkan nama perusahaannya, melainkan memberinya sebutan “Org C.”
Aktivitas ini diyakini telah dimulai sebulan sebelumnya, dengan serangan yang berpuncak pada penyebaran malware berbasis Java yang menggunakan OneDrive untuk perintah dan kontrol (C2).
Pelaku ancaman di balik operasi tersebut dikatakan telah mengirimkan pesan Teams ke empat karyawan Org C dengan menyamar sebagai anggota tim TI dan meminta akses jarak jauh ke sistem mereka melalui alat Quick Assist.
Yang membuat metode kompromi awal ini menonjol adalah penyerang memanfaatkan akun pengguna milik calon korban sebelumnya (Org A), dibandingkan membuat akun baru untuk tujuan ini.
“Pesan Microsoft Teams yang diterima oleh pengguna Org C yang ditargetkan dimungkinkan oleh fungsionalitas 'Akses Eksternal' Microsoft Teams, yang memungkinkan komunikasi One-on-One dengan organisasi eksternal mana pun secara default,” kata Hunters.
Pada langkah berikutnya, pelaku ancaman membagikan melalui obrolan tautan unduhan SharePoint ke file arsip ZIP (“Client_v8.16L.zip”) yang dihosting di penyewa berbeda (Org B). Arsip ZIP disertakan, di antara file-file lainnya, alat akses jarak jauh lainnya bernama LiteManager.
Akses jarak jauh yang diperoleh melalui Quick Assist kemudian digunakan untuk membuat tugas terjadwal pada sistem untuk menjalankan perangkat lunak pemantauan dan manajemen jarak jauh (RMM) LiteManager secara berkala.
Juga mengunduh file ZIP kedua (“Cliento.zip”) menggunakan metode yang sama yang menyertakan malware berbasis Java dalam bentuk arsip Java (JAR) dan seluruh Java Development Kit (JDK) untuk menjalankannya.
Malware ini direkayasa untuk terhubung ke akun OneDrive yang dikendalikan musuh menggunakan kredensial Entra ID (sebelumnya Azure Active Directory) yang dikodekan keras, menggunakannya sebagai C2 untuk mengambil dan menjalankan perintah PowerShell pada sistem yang terinfeksi dengan menggunakan Microsoft Graph API.
Ini juga dikemas dalam mekanisme fallback yang menginisialisasi soket HTTPS ke mesin virtual Azure jarak jauh, yang kemudian digunakan untuk menerima perintah dan menjalankannya dalam konteks PowerShell.
Ini bukan pertama kalinya program Quick Assist digunakan dengan cara ini. Awal bulan Mei ini, Microsoft memperingatkan bahwa kelompok penjahat dunia maya yang bermotivasi finansial yang dikenal sebagai Storm-1811 menyalahgunakan fitur Quick Assist dengan berpura-pura menjadi profesional TI atau personel dukungan teknis untuk mendapatkan akses dan menjatuhkan ransomware Black Basta.
Perkembangan ini juga terjadi beberapa minggu setelah pembuat Windows tersebut mengatakan bahwa mereka telah mengamati kampanye yang menyalahgunakan layanan hosting file yang sah seperti SharePoint, OneDrive, dan Dropbox sebagai cara untuk menghindari deteksi.
“Strategi yang bergantung pada SaaS ini mempersulit deteksi waktu nyata dan melewati pertahanan konvensional,” kata Hunters. “Dengan tidak adanya kebingungan dan kode yang terstruktur dengan baik, malware ini menentang tren khas desain yang berfokus pada penghindaran, menjadikannya sangat mudah dibaca dan lugas.”