L'attacco VEILDrive rappresenta una minaccia emergente nel panorama della sicurezza informatica, sfruttando i servizi legittimi di Microsoft per eludere la rilevazione e distribuire malware. Questa campagna di attacco utilizza piattaforme come Teams, SharePoint, Quick Assist e OneDrive per infiltrarsi nelle infrastrutture di organizzazioni precedentemente compromesse, distribuendo attacchi di spear-phishing e archiviando codice malevolo. Secondo un recente rapporto della società di sicurezza informatica israeliana Hunters, questa strategia basata sul cloud consente agli aggressori di evitare i sistemi di monitoraggio convenzionali, rendendo complessa la rilevazione in tempo reale.

L'attacco a Org C

L'attività è stata scoperta a settembre 2024, quando Hunters ha risposto a un incidente informatico che ha colpito un'organizzazione critica negli Stati Uniti, indicata come "Org C". L'attacco, iniziato un mese prima, ha culminato con l'implementazione di un malware basato su Java che utilizza OneDrive per il comando e controllo (C2). L'aggressore ha impersonato un membro del team IT inviando messaggi tramite Microsoft Teams a quattro dipendenti di Org C, richiedendo l'accesso remoto ai loro sistemi tramite Quick Assist.

Un aspetto distintivo di questo metodo di compromissione iniziale è l'uso di un account utente appartenente a una vittima precedente (Org A), piuttosto che la creazione di un nuovo account. I messaggi su Microsoft Teams sono stati resi possibili grazie alla funzionalità di accesso esterno di Teams, che permette la comunicazione One-on-One con organizzazioni esterne. Successivamente, l'aggressore ha condiviso tramite chat un link di download di SharePoint che conduceva a un file ZIP contenente uno strumento di accesso remoto chiamato LiteManager.

Dettagli tecnici dell'attacco

L'accesso remoto ottenuto tramite Quick Assist è stato utilizzato per creare task pianificati nel sistema, eseguendo periodicamente il software di monitoraggio e gestione remota (RMM) LiteManager. È stato scaricato anche un secondo file ZIP contenente il malware basato su Java e l'intero Java Development Kit (JDK) necessario per la sua esecuzione. Questo malware è progettato per connettersi a un account OneDrive controllato dagli avversari utilizzando credenziali Entra ID codificate, fungendo da C2 per estrarre ed eseguire comandi PowerShell sul sistema infetto tramite l'API Microsoft Graph.

Come meccanismo di fallback, il malware può inizializzare un socket HTTPS verso una macchina virtuale Azure remota, ricevendo ed eseguendo comandi nel contesto di PowerShell. Non è la prima volta che il programma Quick Assist viene utilizzato in questo modo. Già a maggio, Microsoft aveva avvertito di un gruppo di cybercriminali finanziariamente motivati che abusavano delle funzionalità di Quick Assist fingendosi professionisti IT per diffondere ransomware Black Basta.

Sfruttamento dei servizi di hosting legittimi

I recenti sviluppi sottolineano come le campagne stiano sfruttando servizi di hosting file legittimi come SharePoint, OneDrive e Dropbox per eludere la rilevazione, complicando ulteriormente la difesa convenzionale. Questo approccio dipendente dal SaaS, privo di offuscamento e con codice ben strutturato, sfida la tendenza tipica del design focalizzato sull'evasione, risultando in un malware insolitamente leggibile e diretto.