VEILDrive Colpisce Ancora: Come I Servizi Microsoft Vengono Manipolati Per Cyber-Attacchi Avanzati
Il nuovo modus operandi di VEILDrive: Abuso dei servizi Microsoft per operazioni di cyber-attacco
In un recente sviluppo nel campo della sicurezza informatica, sono emersi dettagli preoccupanti riguardo le strategie adottate dal gruppo cyber-criminale noto come VEILDrive. Questo gruppo ha sfruttato piattaforme legittime di Microsoft, come Teams, SharePoint, Quick Assist e OneDrive, per orchestrare sofisticate campagne di phishing e gestire operazioni di malware.
La rilevazione di questa campagna è stata effettuata dalla compagnia di sicurezza israeliana, Hunters, nel settembre 2024, a seguito di indagini su un incidente che ha coinvolto l’Organizzazione C, un ente di infrastrutture critiche negli USA.
L’intrusione è stata messa in atto ad agosto e si è concluse con l’infiltrazione di un malware in Java che utilizzava OneDrive per le operazioni di comando e controllo. Gli attaccanti hanno ingegnosamente impiegato la piattaforma Teams per inviare messaggi ai dipendenti dell’Organizzazione C, presentandosi come tecnici IT e chiedendo l’accesso remoto attraverso Quick Assist.
Un aspetto distintivo di questo assalto informatico è stato l’utilizzo di un account già esistente appartenente alla vittima, anziché creare profili nuovi. Questo ha permesso di eludere le comuni misure di sicurezza grazie alla funzionalità di connessione esterna in Microsoft Teams, che normalmente facilita la comunicazione tra utenti di varie organizzazioni.
Durante la fase avanzata dell’attacco, è stato trasmesso un link tramite SharePoint per il download di un file compresso che conteneva il software di controllo remoto LiteManager. Questo strumento è stato utilizzato per istituire attività pianificate e perseequire ulteriormente il sistema avversato. Simultaneamente, è stato scaricato un altro file ZIP contenente malware in formato Java Archive (JAR), configurato per sincronizzarsi con un account OneDrive gestito dagli aggressori per mandare esecuzioni di comandi PowerShell attraverso l’API di Microsoft Graph.
I cyber-criminali hanno integrato anche un meccanismo di riserva, utilizzando HTTPS per collegarsi a un server Azure remoto, da cui ricevere ed eseguire ulteriori comandi sul sistema compromesso.
Non è la prima volta che il servizio Quick Assist viene sfruttato in maniere fraudolente. Già nel maggio 2024, Microsoft aveva lanciato un avvertimento sul maluso di questa funzionalità da parte del gruppo Storm-1811, noto per impersonare membri del supporto tecnico e diffondere il ransomware Black Basta.
La frequenza degli abusi dei servizi Microsoft, quali SharePoint e OneDrive, nell’eludere sistemi di sicurezza, è un fenomeno in crescita. Hunters ha evidenziato come la semplicità della base di codice e la struttura utilizzata nei malware rendano il loro rilevamento in tempo reale estremamente complicato, spingendo la trasparenza di questi attacchi a livelli inusuali.
Conclusioni e riflessioni su questi attacchi
Questa nuova ondata di attacchi dimostra che i cyber-criminali stanno diventando sempre più sofisticati nell’esplorare e sfruttare le falle nei sistemi di sicurezza legati a tecnologie d’uso quotidiano. Servizi come Microsoft Teams e SharePoint, essenziali per la collaborazione aziendale, diventano così doppiamente importanti da proteggere. È fondamentale che le organizzazioni incrementino le misure di sicurezza, non solo a livello di infrastruttura ma anche tramite la formazione degli utenti, per rafforzare la prima linea di difesa contro tali minacce sofisticate.
Cyber Net Now
Cyber Net Now è una rete di professionisti che volontariamente apportano il loro contributo alla divulgazione di notizie e tematiche del mondo della cybersecurity, della sicurezza informatica e della tecnologia, specialmente in Italia.