Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Redazione RHC : 7 Novembre 2024 10:10
La società israeliana di sicurezza informatica Hunters ha registrato l’attività del gruppo informatico VEILDrive, che utilizza servizi Microsoft legittimi – Teams , SharePoint , Quick Assist e OneDrive – per distribuire attacchi di phishing e ospitare malware.
Gli esperti hanno scoperto la campagna nel settembre 2024 mentre indagavano su un incidente avvenuto presso un’organizzazione di infrastrutture critiche degli Stati Uniti denominata “Organizzazione C.”
L’attacco informatico è iniziato ad agosto e si è concluso con l’introduzione di malware basato su Java che utilizzava OneDrive per l’infrastruttura di comando e controllo. Gli aggressori hanno inviato messaggi tramite Teams ai dipendenti dell’Organizzazione C, mascherandosi da specialisti IT e richiedendo l’accesso remoto tramite Quick Assist.
Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)
Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Una particolarità dell’attacco è stata l’utilizzo dell’account esistente della vittima (“Organizzazione A”), anziché crearne uno nuovo. Ciò ha aggirato le misure di sicurezza standard attraverso la funzionalità di accesso esterno in Microsoft Teams, che per impostazione predefinita consente la comunicazione con utenti di altre organizzazioni.
La fase successiva dell’attacco prevedeva l’invio di un collegamento per scaricare un file di archivio tramite SharePoint. L’archivio conteneva il programma di accesso remoto LiteManager, utilizzato dai criminali informatici per creare attività pianificate e monitorare ulteriormente il sistema. Inoltre, hanno scaricato un secondo file ZIP contenente malware in formato Java Archive (JAR), che gli ha permesso di connettersi a un account OneDrive controllato dagli aggressori per eseguire comandi PowerShell tramite l’API Microsoft Graph.
I criminali informatici hanno anche fornito un meccanismo di backup: connettersi a una macchina virtuale Azure remota tramite HTTPS per ricevere comandi ed eseguirli sul sistema.
Questo attacco non è la prima volta che Quick Assist viene utilizzato per frode. Nel maggio 2024, Microsoft ha avvertito dell’abuso di questo servizio da parte del gruppo Storm-1811, che si è presentato come dipendente del supporto tecnico e ha distribuito il ransomware Black Basta.
Negli ultimi mesi sono diventati più frequenti anche i casi di utilizzo dei servizi SharePoint e OneDrive per aggirare i sistemi di sicurezza. Hunters sottolinea che questa strategia si basa su una base di codice semplice e strutturata, che rende molto più difficile il rilevamento del malware in tempo reale e lo rende insolitamente trasparente.
RedazioneOggi i bambini sono un po’ più al sicuro grazie ad una operazione di polizia coordinata da Europol che ha portato alla chiusura di Kidflix. Si tratta di una delle più grandi piattafor...
Uno degli autori di Flipper Zero, Pavel Zhovner, ha condiviso i dettagli su come stanno procedendo i lavori su una nuova versione del multi-strumento per hacker: Flipper One. Lo sviluppatore ha pubbli...
Il ransomware HellCat è apparso nella seconda metà del 2024 e ha attirato l’attenzione degli analisti grazie all’umorismo delle sue dichiarazioni pubbliche. Ricordiamo l’...
Il 28 marzo 2025, un utente del noto forum di cybersecurity BreachForums, con lo pseudonimo ThinkingOne, ha rivelato quello che potrebbe essere il più grande data breach mai registrato nel mondo ...
Quando Jeffrey Goldberg dell’Atlantic ha fatto trapelare accidentalmente un messaggio di gruppo privato di alti funzionari statunitensi su un possibile attacco contro gli Houthi nello Yemen, ha...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
