Скрытая угроза в Teams и SharePoint: как атака VEILDrive ударила по инфраструктуре США

Скрытая угроза в Teams и SharePoint: как атака VEILDrive ударила по инфраструктуре США

Кибербандиты явились оттуда, откуда их никто не ждал.

image

Израильская компания по кибербезопасности Hunters зафиксировала активность кибергруппировки VEILDrive, использующей легитимные сервисы MicrosoftTeams, SharePoint, Quick Assist и OneDrive — для распространения фишинговых атак и размещения вредоносного ПО. Специалисты обнаружили кампанию в сентябре 2024 года, расследуя инцидент в одной из критически важных инфраструктурных организаций США, обозначенной как «Организация C».

Кибератака началась ещё в августе и завершилась внедрением вредоносного ПО на базе Java, использующего OneDrive для командно-контрольной инфраструктуры. Злоумышленники отправляли сообщения через Teams сотрудникам «Организации C», маскируясь под IT-специалистов и запрашивая удалённый доступ через Quick Assist.

Особенностью атаки стало использование существующей учётной записи жертвы («Организация A»), а не создания новой. Это позволяло обойти стандартные меры безопасности благодаря функции внешнего доступа в Microsoft Teams, которая по умолчанию разрешает общение с пользователями из других организаций.

Следующий этап атаки включал рассылку ссылки на загрузку архивного файла через SharePoint. Архив содержал программу удалённого доступа LiteManager, которую киберпреступники использовали для создания запланированных задач и дальнейшего мониторинга системы. В дополнение они загрузили второй ZIP-файл с вредоносным ПО в формате Java Archive (JAR), что позволяло ему подключаться к контролируемому злоумышленниками аккаунту OneDrive для выполнения команд PowerShell через API Microsoft Graph.

Киберпреступники также предусмотрели резервный механизм — подключение к удалённой виртуальной машине Azure через HTTPS, чтобы получать команды и исполнять их в системе.

Эта атака не первая, где Quick Assist используется для мошенничества. В мае 2024 года Microsoft предупреждала о злоупотреблении этим сервисом со стороны группы Storm-1811, которая представлялась сотрудниками технической поддержки и распространяла шифровальщик Black Basta.

В последние месяцы также участились случаи использования сервисов SharePoint и OneDrive для обхода систем защиты. В Hunters отмечают, что такая стратегия основана на простой и структурированной кодовой базе, что значительно усложняет обнаружение вредоносного ПО в реальном времени и делает его нетипично «прозрачным».

Бэкап знаний создан успешно!

Храним важное в надежном месте

Синхронизируйтесь — подпишитесь