Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • El ataque VEILDrive aprovecha los servicios de Microsoft para evadir la detección y distribuir malware
  • Tecnología

El ataque VEILDrive aprovecha los servicios de Microsoft para evadir la detección y distribuir malware

teknomers 6 de Kasım de 2024 (Last updated: 6 de Kasım de 2024) 4 minutes read
El ataque VEILDrive aprovecha los servicios de Microsoft para evadir


06 de noviembre de 2024Ravie LakshmananSeguridad SaaS/Detección de amenazas

Una campaña de amenazas en curso denominada VEILDrive Se ha observado que aprovecha servicios legítimos de Microsoft, incluidos Teams, SharePoint, Quick Assist y OneDrive, como parte de su modus operandi.

“Aprovechando los servicios SaaS de Microsoft, incluidos Teams, SharePoint, Quick Assist y OneDrive, el atacante aprovechó las infraestructuras confiables de organizaciones previamente comprometidas para distribuir ataques de phishing y almacenar malware”, dijo la empresa israelí de ciberseguridad Hunters. dicho en un nuevo informe.

“Esta estrategia centrada en la nube permitió al actor de amenazas evitar la detección por parte de los sistemas de monitoreo convencionales”.

Hunters dijo que descubrió la campaña en septiembre de 204 después de que respondiera a un incidente cibernético dirigido a una organización de infraestructura crítica en los Estados Unidos. No reveló el nombre de la empresa, sino que le dio la designación “Org C”.

Ciberseguridad

Se cree que la actividad comenzó un mes antes y el ataque culminó con la implementación de un malware basado en Java que emplea OneDrive para comando y control (C2).

Se dice que el actor de amenazas detrás de la operación envió mensajes de Teams a cuatro empleados de la Organización C haciéndose pasar por un miembro del equipo de TI y solicitando acceso remoto a sus sistemas a través de la herramienta Quick Assist.

Lo que hizo que este método de compromiso inicial se destacara es que el atacante utilizó una cuenta de usuario que pertenecía a una posible víctima anterior (Organización A), en lugar de crear una nueva cuenta para este propósito.

“Los mensajes de Microsoft Teams recibidos por los usuarios específicos de la Organización C fueron posibles gracias a Microsoft Teams”Acceso externo‘, que permite la comunicación uno a uno con cualquier organización externa de forma predeterminada”, dijo Hunters.

Ataque VEILDrive

En el siguiente paso, el actor de amenazas compartió a través del chat un enlace de descarga de SharePoint a un archivo ZIP (“Client_v8.16L.zip”) que estaba alojado en un inquilino diferente (Organización B). El archivo ZIP incluía, entre otros archivos, otra herramienta de acceso remoto llamada LiteManager.

El acceso remoto obtenido a través de Quick Assist se utilizó luego para crear tareas programadas en el sistema para ejecutar periódicamente el software de administración y monitoreo remoto (RMM) LiteManager.

También se descarga un segundo archivo ZIP (“Cliento.zip”) utilizando el mismo método que incluía el malware basado en Java en forma de archivo Java (JAR) y todo el Java Development Kit (JDK) para ejecutarlo.

El malware está diseñado para conectarse a una cuenta OneDrive controlada por el adversario utilizando credenciales codificadas de Entra ID (anteriormente Azure Active Directory), usándola como C2 para buscar y ejecutar comandos de PowerShell en el sistema infectado mediante Microsoft Graph API.

Ciberseguridad

También incluye un mecanismo alternativo que inicializa un socket HTTPS en una máquina virtual remota de Azure, que luego se utiliza para recibir comandos y ejecutarlos en el contexto de PowerShell.

Esta no es la primera vez que el programa Quick Assist se utiliza de esta manera. A principios de mayo, Microsoft advirtió que un grupo cibercriminal con motivación financiera conocido como Storm-1811 hizo un mal uso de las funciones Quick Assist haciéndose pasar por profesionales de TI o personal de soporte técnico para obtener acceso y eliminar el ransomware Black Basta.

El desarrollo también se produce semanas después de que el fabricante de Windows dijera que había observado campañas que abusaban de servicios legítimos de alojamiento de archivos como SharePoint, OneDrive y Dropbox como medio para evadir la detección.

“Esta estrategia dependiente de SaaS complica la detección en tiempo real y evita las defensas convencionales”, afirmó Hunters. “Sin ofuscación y código bien estructurado, este malware desafía la tendencia típica de diseño centrado en la evasión, haciéndolo inusualmente legible y sencillo”.

¿Encontró interesante este artículo? Síguenos en Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: ¿Cuál fue el papel de las mujeres en la derrota del candidato demócrata? Los datos sobre una parte del electorado femenino lo dicen claramente
Next: Bulldozers y pájaros de pradera: observando las obras viales y los pólderes desde la nueva torre de vigilancia cerca de la A9

Related Stories

El francés Thales ayudará a Europa a asegurar los datos
  • Tecnología

El francés Thales ayudará a Europa a asegurar los datos ultra-sensibles de la defensa continental

teknomers 2 de Temmuz de 2026
Más allá del código abierto: esta alternativa a Google Photos
  • Tecnología

Más allá del código abierto: esta alternativa a Google Photos quiere ganar su confianza compartiendo todo

teknomers 2 de Temmuz de 2026
Finalmente, el doble canal no tiene gran importancia en la
  • Tecnología

Finalmente, el doble canal no tiene gran importancia en la Steam Machine

teknomers 2 de Temmuz de 2026

You May Have Missed

  • Deporte

Nicole Anyomi: Las London City Lionesses fichan a la delantera alemana

teknomers 2 de Temmuz de 2026
  • Finanzas

« Han usado gas lacrimógeno »: escenas de caos en los Lidl tras la venta de 200,000 ventiladores y aires acondicionados

teknomers 2 de Temmuz de 2026
  • Deporte

« Es un buen portero, pero… »: ¿cuál es el problema de Luca Zidane con Argelia en el Mundial?

teknomers 2 de Temmuz de 2026
  • Cultura

Ninho: apertura de la venta de entradas para su gira «Quattro Tour» a partir de enero de 2027

teknomers 2 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.