【安全资讯】VEILDrive：一种新型攻击利用微软服务进行指挥与控制

概要：

近期，Hunters的AXON网络安全团队发现了一种名为VEILDrive的持续威胁活动，该活动利用微软服务进行指挥与控制（C2）。攻击者通过微软的SaaS套件（包括Teams、OneDrive、SharePoint和Quick Assist）嵌入C2功能，能够在被感染的环境中隐秘地控制系统。此事件的发生凸显了利用受信任基础设施进行攻击的复杂性及其潜在影响。

主要内容：

VEILDrive攻击的发起者通过伪装成IT人员，利用微软Teams发送钓鱼信息，成功获取了目标员工的设备访问权限。报告指出，攻击者通过Quick Assist远程工具请求访问，针对非技术员工进行更容易的利用。一旦获得访问权限，攻击者引导受害者下载托管在其他组织SharePoint上的恶意文件。这种多层次的攻击方式使得攻击者能够在目标环境中横向移动，同时避开传统监控系统。

VEILDrive的恶意软件为基于Java的.jar文件，名为Cliento.jar，包含两种主要的C2机制。首先是传统的HTTPS套接字，第二种则利用OneDrive作为C2平台，采用更复杂的设置。该系统通过创建独特文件在受害者的OneDrive账户中进行通信，执行命令、检索文件并信号任务完成。

此外，恶意软件还利用Microsoft Graph API促进攻击者与被感染设备之间的命令和结果交换。这种与合法API的集成使得恶意软件能够在正常的云活动中隐蔽运行，尽管其代码结构简单，但却表现出极强的规避能力。AXON团队已通知微软及受影响组织，分享可行的情报以防止进一步的利用。