پنهان کردن VEILDrive: بازیگران تهدید از خدمات مایکروسافت برای فرماندهی و کنترل سوء استفاده می کنند

توسط تیم شکارچیان آکسون

TL; DR

  • تیم شکارچی AXON یک کمپین تهدید در حال انجام را شناسایی کرده است و در حال حاضر در حال نظارت است، به نام “VEILDrive
  • این کمپین در ابتدا به عنوان بخشی از تعامل AXON برای رسیدگی به یک فعالیت مخرب شناسایی شده در زیرساخت یکی از مشتریان ما شناسایی شد.
  • به عنوان بخشی از تحقیقات، ما مؤلفه‌های زیرساختی مختلف مایکروسافت را در سازمان‌های قربانی دیگر شناسایی کردیم که توسط مهاجم در معرض خطر قرار گرفته و مورد استفاده قرار گرفتند.
  • مهاجم از سرویس‌ها و برنامه‌های مختلف Microsoft SaaS به عنوان بخشی از کمپین، از جمله Microsoft Teams، SharePoint، Quick Assist و OneDrive استفاده کرد.
  • مهاجم از روش منحصربفرد Command & Control (C&C) مبتنی بر OneDrive به عنوان بخشی از بدافزار یافت شده در زیرساخت قربانی استفاده کرده است.
  • بر اساس نتایج تحقیقات ما، احتمال قابل توجهی وجود دارد که این کمپین از روسیه منشا گرفته باشد
  • تیم AXON یافته‌های خود را به مایکروسافت گزارش داد تا به خاموش کردن زیرساخت این بازیگر کمک کند
  • این تیم همچنین با چندین قربانی آسیب دیده که در طول تحقیقات ما شناسایی شده بودند، تماس گرفت

خلاصه اجرایی

تیم شکارچی AXON یک کمپین تهدید در حال انجام تحت عنوان “VEILDrive” را کشف کرده و به طور فعال در حال نظارت است.

Source link