Malware y evasión: Cómo el ataque VEILDrive utiliza los servicios de Microsoft.

Un grupo de ciberdelincuentes muy hábiles ha estado atacando a diferentes empresas utilizando servicios de Microsoft.

Imagina que los ciberdelincuentes son ladrones muy inteligentes que han encontrado la forma de entrar en las casas de las personas usando llaves maestras. En este caso, esas llaves maestras son los servicios de Microsoft como Teams, OneDrive, SharePoint o Quick Assist, herramientas que muchas empresas usan a diario.

Lo que hacen estos actores es:

• Entrar a empresas que ya han sido atacadas anteriormente: Es como si supieran qué casas ya han sido robadas y volvieran a ellas para seguir buscando cosas de valor.
• Usar estos servicios para enviar correos electrónicos falsos: Los correos electrónicos falsos se ven muy reales y hacen que los empleados piensen que vienen de alguien de confianza.
• Infectar los ordenadores con virus: Si alguien hace clic en un enlace o abre un archivo adjunto en el correo falso, su ordenador se infecta con un virus.

¿Por qué es tan peligroso?

• Es difícil de detectar: Al usar herramientas que las empresas usan diariamente, es muy difícil darse cuenta de que hay un ataque en curso.
• Afecta a empresas importantes: En esta ocasión, los hackers atacaron a una empresa que proporciona servicios esenciales. No se sabe el nombre de la empresa, pero se le designó como Org C.

Esta empresa fue atacada en septiembre de 2024, pero se cree que la actividad comenzó un mes antes y que el ataque terminó con el despliegue de un malware basado en Java que utiliza OneDrive como sistema de mando y control (C2). Este ataque fue posible gracias a que el atacante envió mensajes a cuatro empleados de “Org C”, haciéndose pasar por un miembro del equipo de IT, solicitando acceso remoto a sus sistemas a través de la herramienta Quick Assist. Los mensajes de Microsoft Teams recibidos por los usuarios de la Org C fueron posibles gracias a la funcionalidad de Acceso externo del propio Microsoft Teams, que permite la comunicación One-on-One con cualquier organización externa por defecto.

Diagrama representativo del flujo de ataque de VEILDrive.

El atacante distribuyó un archivo ZIP (“Client_v8.16L.zip”) a través de un enlace de SharePoint, conteniendo LiteManager y otros componentes maliciosos alojados en un tenant de SharePoint distinto (Org B). Explotado el acceso remoto obtenido mediante Quick Assist, se programaron tareas para ejecutar periódicamente LiteManager, estableciendo un canal de comunicación persistente. Adicionalmente, se descargó un segundo archivo ZIP (“Client.zip”) con malware Java (JAR) y su entorno de ejecución (JDK), el cual se conectaba a una cuenta de OneDrive del atacante utilizando credenciales Azure AD codificadas, actuando como un C2 para recibir comandos PowerShell a través de la API Microsoft Graph.

Resumidamente, estos son los servicios que se usaron para el ataque:

Quick Assist se ha convertido en una herramienta popular entre los ciberdelincuentes. Storm-1811, un grupo con motivaciones financieras ya lo había usado anteriormente para distribuir el ransomware Black Basta. Microsoft advirtió que esta tendencia se está extendiendo a otros servicios en la nube como SharePoint, OneDrive y Dropbox, lo que permite a los atacantes eludir los sistemas de detección tradicionales. 

Fuentes:

• VEILDrive Attack Exploits Microsoft Services to Evade Detection and Distribute Malware https://thehackernews.com/2024/11/veildrive-attack-exploits-microsoft.html
• Unmasking VEILDrive: Threat Actors Exploit Microsoft Services for C2 https://www.hunters.security/en/blog/veildrive-microsoft-services-malware-c2

Acerca de Karina Dudinskikh

Karina Dudinskikh Ha escrito 23 publicaciones.

• View all posts by Karina Dudinskikh →
• Blog