Huntersは11月4日(現地時間)、「Unmasking VEILDrive: Threat Actors Exploit Microsoft Services for C2」において、MicrosoftのSaaSを悪用する進行中のサイバー攻撃キャンペーン「VEILDrive」を発見したとして、分析結果を公開した。悪用されたサービスはMicrosoft Teams、SharePoint、Quick Assist、OneDriveなど複数あり、セキュリティソリューションの検出を回避してマルウェアを配布するという。
-
Unmasking VEILDrive: Threat Actors Exploit Microsoft Services for C2
侵害経路
Huntersによると、VEILDriveは2024年8月初旬に開始されたという。攻撃者は過去に侵害された組織のインフラストラクチャを悪用し、スピアフィッシング攻撃にてマルウェアを配布したとされる。
特定の事案にて確認された具体的な侵害経路は次のとおり。
- 攻撃者は過去に侵害した組織のITチームメンバーになりすまし、Microsoft Teamsを悪用して標的企業の技術者ではない従業員4名にメッセージを送信。内容はクイックアシストアプリを使用したデバイスへのアクセス要求とされる
- 従業員のうち1名がチャットに応答。指示に従いクイックアシストのアクセスコードを送信した
- デバイスへのアクセスを可能にした攻撃者は、第3の組織のSharePointから配布されるZIPファイルのURLを被害者に送信。ダウンロードはクイックアシストを使用して、攻撃者自身が行った可能性が高いと推測されている
- 攻撃者はZIPファイルに含まれるリモート監視および管理(RMM: Remote Monitoring and Management)ツールをタスクに登録し、永続性を確保
- 次にJava Archiveファイル形式のマルウェアおよび実行環境のJava開発キット(JDK)をまとめたZIPファイルのURLを被害者に送信。このダウンロードも攻撃者が行ったと推測されている
- 攻撃者はJava実行環境を展開し、マルウェアを実行。さらにレジストリを操作して、マルウェアの永続性を確保した
-
侵害経路 - 引用:Hunters
Javaマルウェア「ODC2」の実態
最終的に配布されたマルウェアは、発見者により「ODC2」と名付けられている。マルウェアには攻撃者が所有しているとみられるテナントの認証情報が含まれており、攻撃者はそのOneDriveをコマンド&コントロール(C2: Command and Control)サーバとして悪用した。
マルウェアの主な機能はPowerShellコマンドの実行、ファイルの送受信、ファイルの圧縮、スクリーンショットの窃取、ネットワーク接続の操作などとされる。調査の時点で、このマルウェアはエンドポイント検出応答(EDR: Endpoint Detection and Response)から検出できなかったことが確認されている。
対策
Huntersは調査の過程にて判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)および脅威ハンティングクエリを公開している。今後も同様の攻撃が継続すると推測されることから、Microsoftのクラウドサービスを利用している企業には、これらを活用して継続的な監視と積極的な脅威ハンティングを実施することが推奨されている。
WordPressプラグイン・テーマの脆弱性最新情報 第6回 2025年5月29日~2025年6月4日までに報告されたWordPress関連の脆弱性情報
