VEILDrive-ın maskasını çıxarmaq: Təhdid Aktyorları Komanda və İdarəetmə üçün Microsoft Xidmətlərindən istifadə edirlər

Hunters Team Axon tərəfindən

TL; DR

• Ovçular Komandası AXON “ VEILDrive ” adlı davam edən təhlükə kampaniyasını müəyyən edib və hazırda onu izləyir.
• Kampaniya ilkin olaraq müştərilərimizin infrastrukturunda müəyyən edilmiş zərərli fəaliyyəti həll etmək üçün AXON məşğulluğunun bir hissəsi kimi müəyyən edilmişdir.
• İstintaqın bir hissəsi olaraq, təcavüzkar tərəfindən təhlükəyə məruz qalan və istifadə edilən əlavə qurban təşkilatlarının müxtəlif Microsoft infrastruktur komponentlərini müəyyən etdik.
• Təcavüzkar kampaniyanın bir hissəsi olaraq Microsoft Teams, SharePoint, Quick Assist və OneDrive daxil olmaqla müxtəlif Microsoft SaaS xidmətlərindən və proqramlarından istifadə edib.
• Təcavüzkar qurbanın infrastrukturunda aşkar edilmiş zərərli proqramın bir hissəsi kimi unikal OneDrive əsaslı Komanda və İdarəetmə (C&C) metodundan istifadə edib.
• Araşdırmamızın nəticələrinə əsasən, bu kampaniyanın Rusiyadan qaynaqlanması ehtimalı böyükdür
• AXON komandası, aktyorun infrastrukturunun bağlanmasına kömək etmək üçün Microsoft-a öz nəticələrini bildirdi
• Qrup həmçinin araşdırmalarımız zamanı müəyyən edilmiş çoxlu təsirlənmiş qurbanlarla əlaqə saxladı

İcra Xülasəsi

Ovçular Komandası AXON “VEILDrive” adlı davam edən təhdid kampaniyasını aşkar edib və fəal şəkildə izləyir. İlkin olaraq müştərinin infrastrukturunda zərərli fəaliyyətin təhqiqatı zamanı aşkar edilən VEILDrive Microsoft-un SaaS paketindən, xüsusən Teams, SharePoint, Quick Assist və OneDriveto-dan istifadə edir. öz taktikasını yerinə yetirmək, unikaldır aktyor təhlükəyə məruz qalmış mühitlərdə yerləşdirilən xüsusi zərərli proqrama daxil edilmiş OneDrive əsaslı Əmr və Nəzarət (C&C) metodundan istifadə edir. Bizim təhlilimiz bu kampaniyanın ehtimal olunan Rusiya mənşəli olduğunu göstərir və bundan sonra AXON komandası gələcək istismarı azaltmaq üçün həm Microsoftu, həm də təsirə məruz qalan təşkilatları xəbərdar etdi. .

Araşdırmamız 2024-cü ilin sentyabrında ABŞ-da kritik infrastruktur obyektinə edilən hücuma cavabdan sonra başladı. VEILDrive-ın hücum üsulları tipik təhlükə davranışından aydın şəkildə fərqlənir. Onlar nizə-fishing kampaniyalarını yaymaq və zərərli proqram təminatı saxlamaq üçün Microsoft-un SaaS infrastrukturuna çox etibar edirlər. SaaS-dən asılı olan bu strategiya real vaxt aşkarlanmasını çətinləşdirir və adi müdafiədən yan keçir.

VEILDrive ilə əlaqəli zərərli proqram Java əsaslı .jar faylıdır ki, o, qeyri-adi oxunaqlı və yaxşı strukturlaşdırılmış edir. Sadəliyinə baxmayaraq, zərərli proqram yüksək səviyyəli Endpoint Detection and Response (EDR) aləti və VirusTotal-dakı bütün təhlükəsizlik mühərrikləri tərəfindən aşkarlanmaqdan yayındı. Bu, kritik riski vurğulayır: hətta qeyri-müəyyən, sadə kod müasir aşkarlama mexanizmlərindən yayına bilər və bu, yüksək riskli mühitlərdə aşkarlama strategiyalarına yenidən baxmağa daha geniş ehtiyac olduğunu göstərir.

Bu hesabat kibertəhlükəsizlik cəmiyyətini inkişaf edən təhdidlərə qarşı daha yaxşı təchiz etmək üçün VEILDrive-ın metodologiyaları və cari aşkarlama yanaşmalarının məhdudiyyətləri haqqında anlayışlar təqdim edir.

Fon

2024-cü ilin sentyabrında Team AXON ABŞ-da kritik bir infrastruktur şirkətini hədəf alan insidentə cavab verdi. Bu araşdırma, adətən oxşar hadisələrdə müşahidə olunanlardan əhəmiyyətli dərəcədə kənara çıxan qeyri-adi taktika, texnika və prosedurları (TTP) nümayiş etdirən "VEILDrive" adlı unikal təhlükə kampaniyasını aşkar etdi.

Tapıntılarımıza əsasən, VEILDrive kampaniyasının 2024-cü il avqustun əvvəlində başladığını və bu hesabata qədər aktiv olaraq qaldığını təxmin edirik. Teams, SharePoint, Quick Assist və OneDrive daxil olmaqla Microsoft SaaS xidmətlərindən istifadə edərək, təcavüzkar nizə fişinq hücumlarını yaymaq və zərərli proqramları saxlamaq üçün əvvəllər təhlükəsi olan təşkilatların etibarlı infrastrukturlarından istifadə edib. Bu bulud mərkəzli strategiya təhlükə aktyoruna ənənəvi monitorinq sistemləri tərəfindən aşkarlanmadan qaçmağa imkan verdi.

Qeyd edək ki, VEILDrive, təhlükəyə məruz qalmış cihazlarda yerləşdirilmiş Java əsaslı zərərli proqram təminatına daxil edilmiş yeni OneDrive əsaslı Əmr və İdarəetmə (C&C) metodunu təqdim etdi. Zərərli proqramın özü, .jar faylı, iki təəccüblü xüsusiyyət nümayiş etdirir:

• Kodun Şəffaflığı: Sıfır çaşqınlıq və yaxşı strukturlaşdırılmış kodla bu zərərli proqram yayınma fokuslu dizaynın tipik tendensiyasına qarşı çıxır və onu qeyri-adi oxunaqlı və sadə edir.
• Gizli Effektivlik: Sadəliyinə baxmayaraq, bu zərərli proqram həm qurban mühitində yerləşdirilmiş ən yüksək səviyyəli Son Nöqtənin Aşkarlanması və Cavab (EDR) həlli, həm də VirusTotal-dakı bütün təhlükəsizlik mühərrikləri tərəfindən aşkar edilməmişdir (aşağıdakı Şəkil 1-ə baxın):

Bu xüsusiyyətlər vurğulayır ki, hətta mürəkkəb yayınma üsulları olmasa belə, diqqətlə hazırlanmış, gizlədilməyən zərərli proqram müasir müdafiədən yayına bilər. Bu araşdırma cari aşkarlama strategiyalarında boşluğu vurğulayır və daha az adi hücum yanaşmalarına qarşı sayıqlığın zəruriliyini vurğulayır.

AXON komandası öz tapıntılarını Microsoft və təsirə məruz qalmış təşkilatlarla bölüşərək, bu davam edən təhlükəni azaltmaq üçün hərəkətə keçə bilən kəşfiyyat təklif edir.

VEILDrive Hücum Yolu

2024-cü ilin sentyabr ayının əvvəlində aşağıda "Org C" kimi xatırlanan Hunters müştərilərindən biri aktiv insidentin idarə edilməsində dəstək üçün AXON Komandasını cəlb etdi. İş sosial mühəndislik vasitəsilə təhlükəyə məruz qalmış Org C daxilindəki xüsusi cihaz üzərində cəmləşdi.

Org C əməkdaşının cihazında şübhəli şəkildə yaradılan planlaşdırılmış tapşırıq bir xəbərdarlığa səbəb oldu və əlavə araşdırmaya səbəb oldu. Jurnalları əlaqələndirərək və təsirə məruz qalan istifadəçi ilə əlaqə saxlayaraq, komanda ilkin giriş metodunu aydınlaşdırdı.

Aşağıda hücum axınının yüksək səviyyəli icmalını təmin edən Hücum Diaqramı verilmişdir:

Hadisələrin ardıcıllığı aşağıdakı kimi cərəyan etdi:

Addım 1

Zərərli aktyor Microsoft Teams-dən istifadə edərək Org C-nin seçilmiş dörd əməkdaşına mesaj göndərdi, onların rollarına görə qeyri-texniki olması ilə yanaşı, başqa heç bir açıq əlaqəsi yox idi. Təcavüzkar İT komandasının üzvünü təqlid etdi və Quick Assist uzaqdan yardımçı alət vasitəsilə hər bir işçinin cihazına giriş tələb etdi.

Təcavüzkar özünü təqlid etmək üçün yeni yaradılmış hesabdan istifadə etmək əvəzinə, burada "Org A" kimi xatırlanan potensial əvvəlki qurbanın oğurlanmış istifadəçi hesabından istifadə edib.

M365 Audit Qeydləri Microsoft Komandalarının nizə fişinqini müəyyən etmək üçün istifadə edilmişdir.

• Çoxsaylı “ MessageSent ” və “ ChatCreated ” hadisələri müəyyən edildi ki, bunların hamısı təhdid aktyoruna məxsus olan Org A -nın əvvəllər pozulmuş istifadəçisindən qaynaqlanır.

• 4 işçi hədəf alınsa da, Org A- nın təhlükəyə məruz qalmış istifadəçisini hədəf alan yalnız bir “ Üzv əlavə edildi ” tədbiri müəyyən edildi.

  
  

• Bu “ Üzv əlavə edildi ” tədbiri təkbətək söhbət yaradaraq, təhdid aktyorunun giriş sorğusunu qəbul edən 4 hədəf istifadəçinin yeganə istifadəçi hesabı tərəfindən həyata keçirilib. Bu o deməkdir ki, bu istifadəçi gələn mesajla aktiv şəkildə əlaqə saxlayan yeganə şəxs olub.
• Bu məlumat təşkilatın EDR telemetriyasından əldə edilən məlumatlarla üst-üstə düşür, istifadəçinin nəinki sorğunu qəbul edib mesajı qəbul etdiyini, həm də uğurlu sosial mühəndislik sayəsində təcavüzkarın ilkin giriş əldə etməsinə imkan verdiyini təsdiqləyir.

Yuxarıdakı fikir həm maraqlı, həm də dəyərli idi, Microsoft Teams və oxşar kommunikasiya alətləri vasitəsilə fişinqin artan yayılmasını vurğulayırdı. EDR qeydləri ilə korrelyasiya ilə yanaşı, M365 audit jurnallarından istifadə edərək uğurlu və uğursuz fişinq cəhdlərini ayırd etmək araşdırmalar üçün çox əhəmiyyətli ola bilər.

Org C-nin hədəf istifadəçiləri tərəfindən qəbul edilən Microsoft Teams mesajları, defolt olaraq istənilən xarici təşkilatla təkbətək ünsiyyətə imkan verən Microsoft Teams-in “ Xarici Giriş ” funksiyası sayəsində mümkün olmuşdur.

Addım 2

Təcavüzkar Microsoft-un Quick Assist alətini icra etmək üçün Org C-nin qurbanını uğurla cəlb etdi və Microsoft Teams vasitəsilə onlara giriş kodunu təqdim etdi. Bu, təhdid aktyorunun qurbanın kompüterinə interaktiv girişinə səbəb oldu.

Addım 3

Təhdid aktyoru daha sonra ayrı bir təşkilatın SharePoint-ə endirmə linkini paylaşdı (qurban Microsoft Teams çatı vasitəsilə fişinq üçün istifadə ediləndən fərqli kirayəçiyə məxsus idi, biz bunu “Org B” adlandıracağıq). Bu linkdə Client_v8.16L.zip adlı parolla qorunan .zip faylı var idi ki, bu fayla müxtəlif fayllar, o cümlədən əlavə RMM aləti də daxildir.

Fayl, ehtimal ki, interaktiv vasitələrlə, artıq uzaqdan girişlə təchiz edilmiş hücumçu tərəfindən endirilib, bu, onlara linki tıklamağa və lazım olduqda alətləri endirməyə imkan verən explorer.exe kontekstində fəaliyyət göstərir.

Qeyd etmək lazımdır ki, araşdırma zamanı biz hücumçunun TTP-lərini tam başa düşmək üçün Microsoft Teams mesajlarında daxil olan URL-lər haqqında dəqiq məlumat verən M365 audit jurnallarını qurbanın hostunun EDR telemetriyası ilə əlaqələndirdik.

Addım 4

Uzaqdan giriş vasitəsilə əl ilə zərərli əməliyyatlar həyata keçirmək üçün çoxsaylı cəhdlər edilib. Bu fəaliyyətlər, ilk növbədə, təcavüzkar tərəfindən endirilmiş fayllardan birini - LiteManager ("ROMServer.exe") adlı RMM alətini təkrar icra etmək üçün planlaşdırılmış tapşırıqların yaradılması kimi davamlı səyləri əhatə edirdi.

schtasks /Create /TN "Perfomance monitoring" /SC MINUTE /TR C:\ProgramData\500000003\ROMServer.exe

Addım 5

Yuxarıdakı fəaliyyətlərdən sonra aktyor Cliento.zip.

Əvvəllər olduğu kimi, əlaqə qurban istifadəçi ilə təhdid aktyoru arasındakı söhbətdə paylaşılıb. Bu .zip faylı əsas .JAR zərərli proqram təminatını, eləcə də .JAR zərərli proqram təminatını icra etmək üçün bütün Java İnkişaf Kitini ehtiva edir.

Addım 6

Təhdid aktyoru .JAR zərərli proqram təminatını aşağıdakılardan istifadə edərək icra etdi: C:\\ProgramData\\Cliento\\jdk-22_windows-x64_bin\\jdk-22.0.2\\bin\\javaw.exe -jar C:\\ProgramData\\Cliento\\Cliento.jar

Addım 7

Zərərli .JAR faylının kontekstində çoxsaylı şəbəkə fəaliyyəti və əmrlərin icrası müəyyən edilib, o cümlədən:

• Bir neçə gedən DNS Sorğusu/Şəbəkə Fəaliyyəti → safeshift390-my.sharepoint.com

• Bir neçə gedən DNS Sorğusu/Şəbəkə Fəaliyyəti → graph.microsoft.com

• Bir neçə gedən DNS Sorğusu/Şəbəkə Fəaliyyəti → login.microsoftonline.com ünvanına

• Yerli siyahı əmrlərinin yerinə yetirilməsi:

  • Sistem xüsusiyyətlərini əldə edin - Systeminfo
  • Maşın vaxtı məlumatını əldə edin - net time
  • Maşının UUID-ini əldə edin ( bunu xatırlayın; biz bunu sonra müzakirə edəcəyik ) - Get-WmiObject -Class Win32_ComputerSystemProduct | Select-Object -ExpandProperty UUID
  • USB cihazlarının sadalanması - {$_.interfacetype -eq \"USB\"}"

  
  

Aşağıdakı ekran görüntüsü zərərli fəaliyyətlərlə əlaqəli proses ağacının əsas hissələrini göstərir:

Addım 8

Təcavüzkar həmçinin Java zərərli proqram təminatının davamlı şəkildə icrası üçün reyestrə zərərli JAR binarını əlavə etdi.

Komanda xətti:

Set-ItemProperty -Path \"HKCU:\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\" -Name \"current\" -Value \"C:\\ProgramData\\Cliento\\jdk-22_windows-x64_bin\\jdk-22.0.2\\bin\\javaw.exe -jar C:\\ProgramData\\Cliento\\Cliento.jar\" -ErrorAction Stop"

Bu hadisənin qarşısının alınması və aradan qaldırılması çox sürətli və effektiv idi və əlimizdə olan məhkəmə-tibbi sübutlara görə, təcavüzkarın qurbanın ev sahibinə və təşkilatına hər hansı əhəmiyyətli zərər vura bildiyinə dair heç bir əlamət yox idi.

Yuxarıda təfərrüatları verilmiş hücum axınından əsas fikir ondan ibarətdir ki, təcavüzkar hücumunun bir hissəsi kimi həm açıq-aşkar görünən yerdə gizlənmək, həm də onların rahatlığı üçün müxtəlif tanınmış və çox istifadə edilən Microsoft xidmətlərindən istifadə edib.

Aşağıdakı cədvəldən istifadə edərək təhdid aktyorunun istifadə etdiyi Microsoft xidmətlərini qısaca ümumiləşdirək:

Bu mərhələdə biz yuxarıda qeyd olunan dörd Microsoft xidmətini/proqramını müəyyən etdik. İlk üçünün məqsədini başa düşsək də, Qrafik API-yə yönəlmiş fəaliyyət qeyri-müəyyən olaraq qaldı. Onun potensial məqsədi ilə bağlı bir neçə fərziyyəmiz var idi, lakin hadisəyə cavab olaraq, tək fərziyyələr kifayət deyil, elə deyilmi?

Daha çox məlumat toplamaq və OneDrive/SharePoint-də .JAR zərərli proqram 'Cliento.jar'-ı daha yaxşı başa düşmək üçün - həm təcavüzkar tərəfindən görülən potensial hərəkətləri qiymətləndirmək, həm də onların niyyətləri haqqında məlumat əldə etmək üçün - zərərli proqramın ətraflı təhlilinə davam etdik.

“ODC2” Java Zərərli Proqramı - Komanda və İdarəetmə kimi OneDrive

Client.jar zərərli proqramını dekompilyasiya etmək üçün “JDGUI” adlı Java Dekompilyatorundan istifadə etdik (“ODC2” adlandırdıq).

Zərərli proqrama yüksək səviyyəli ilk baxışdan biz onu hadisə araşdırmasında gördüyümüz PowerShell icrası ilə dərhal əlaqələndirə bildik. Bu, Java üçün PowerShell paketi olan “ jPowerShell ” Java paketinin daxil edilməsi ilə bağlıdır.

Bundan əlavə, biz “əmrlər”, “bağlantı”, “başlatıcı”, “və ya qoşul” və s. kimi əlavə paketləri görə bildik. Bu, bizə zərərli proqram strukturu haqqında yüksək səviyyəli anlayışı təmin etdi.

1. Biz “başlatıcı” paketi altında Main.class ilə başladıq və zərərli proqram tərəfindən istifadə edilən sərt kodlu etimadnamələr dəsti tapdıq. Bu, bizim üçün bir az təəccüblü olsa da, çox maraqlı oldu.

   
   

Zərərli proqramı əlavə təhlil etməklə (aşağıda ətraflı təhlildə təsvir olunduğu kimi) biz aşkar etdik ki, zərərli proqram Entra ID-də “adından” autentifikasiya aparmaq üçün bu etimadnamələrdən istifadə edib. Bu autentifikasiyanı həyata keçirmək üçün giriş nişanı tələb etmək üçün müştəri identifikatoru və müştəri sirri ilə sərt kodlu yeniləmə nişanı istifadə edilmişdir.

Autentifikasiya zərərli proqrama aktyora məxsus olduğu iddia edilən kirayəçilərin xüsusi Entra ID istifadəçilərinin OneDrive-a daxil olmasına icazə verdi və C2 məqsədləri üçün bu girişdən sui-istifadə etdi.

2. Main.class-ın əsas funksiyasında biz giriş nöqtəsinin özünü görə bilərik ki, bura çoxlu ipliklər daxildir. Buraya “odThread1” və “mainThread1” funksiyalarının icrası daxildir.

   
   

“odThread1” autentifikasiya üçün sərt kodlaşdırılmış etimadnamələrin ilk dəstini (Tokeni Yenilə və s.) alan “odRun” Nəzarətçi funksiyasının icrasını ehtiva edir.

• O, “odRun” bağlantı quraşdırması üçün “40.90.196.221” IP ünvanından istifadə edir.

• “Çalış” üçün “40.90.196.228” IP ünvanı HTTPS yuvasını təcavüzkarın C2-yə işə salır. Bu IP həm də Azure-un İP-sidir və onun virtual maşın olma ehtimalı yüksəkdir. Bu C2 kanalı, aşağıda təfərrüatlı olduğu kimi, daha "klassikdir" və PowerShell əmrlərinin yerinə yetirilməsinə səbəb olur.

• Bu IP ünvanları haqqında daha çox məlumat əldə etmək üçün biz ipinfo.io kimi tanınmış resursları və aşağıdakı ekran görüntüsündə göstərildiyi kimi Microsoft tərəfindən nəşr olunan Azure IP ünvanlarının Xidmət Teqlərini yoxladıq:

  
  

  
  

• Onu da qeyd etmək lazımdır ki, bu zərərli proqramda (38.180.136.85) aşkar edilmiş əlavə sərt kodlu IP ünvanı, görünür, başqa xidmət təminatçısına məxsusdur və hostinq xidmətləri ilə əlaqələndirilir. Anlayışlarımıza əsasən, bu IP ünvanı zərərli proqram tərəfindən aktiv şəkildə istifadə edilməmişdir. Biz onun köhnə səbəblərə görə orada olduğunu güman edirik (əvvəlki C2 infrastrukturu).

  
  

HTTPS Soket C2

3. “ctrl.run()” funksiyasını yerinə yetirən “mainThread1()” elementini bir az da dərindən araşdıraraq görə bilərik ki, run() funksiyası əlaqə yaratmağa çalışır və əlaqənin canlı olub-olmadığını müntəzəm olaraq yoxlayır. Daha sonra, uyğun olmayan hissələri kəsərək "parseCommand" etməyə çalışır.

   
   

4. Bu “çalış” funksiyası əlaqəni qurmaq/sıfırlamaq üçün “connect()” istifadə edir. Yuxarıda gördüyümüz uzaq IP ünvanına bir yuva yaradır - 40.90.196.228.

5. Bu “çalışdır” funksiyası müştəridən serverə və serverdən müştəriyə fayl ötürülməsi, faylın sıxılması, ekran görüntüləri, şəbəkə bağlantılarının bağlanması və daxil olmaqla, bu zərərli proqram təminatının təmin etdiyi müxtəlif növ əmrlər/imkanlar üçün müxtəlif işlənmələri ehtiva edən “CommandManager” istifadə edir. əlbəttə ki, əmrin icrası.

   
   

Alınan əmrin boş olub olmadığını yoxsa C2 serverindən faktiki əmrin alındığını yoxlayır.

6. Əgər əmr tapılarsa, onu təhlil edir və yerinə yetirir. İcra əsasən PowerShell kontekstindədir.

   
   

   Gələn əmrin PowerShell əmri kimi icrası daha əvvəl qeyd etdiyimiz jPowerShell paketindən istifadə etməklə həyata keçirilir.

OneDrive Komanda və İdarəetmə

OneDrive C2 funksionallığının əsasını araşdırmazdan əvvəl qeyd etmək lazımdır ki, zərərli proqram kodunun kritik hissələri böyük ölçüdə OneDrive fayllarının üç xüsusi “növü”nə əsaslanır: UUID, cf_UUID və rf_UUID. Araşdırmamızda müşahidə edildiyi kimi Get-WmiObject -Class Win32_ComputerSystemProduct | Select-Object -ExpandProperty UUID icra edildi və cihazın avadanlığının UUID-ni aşkar etdi. Bu unikal identifikator VEILDrive kampaniyasında hər bir qurbanı fərqləndirməyə xidmət edir.

Hər bir fayl növü zərərli proqramın əməliyyatlarında fərqli rol oynayır. Aşağıdakı ekran görüntüsündə bu faylların nümunələri və onların zərərli proqramların icrasındakı əsas rolları göstərilir.

Gəlin OneDrive C2 funksionallığının axınına və bu UUID fayllarının praktikada necə istifadə edildiyinə nəzər salaq:

7. PowerShell üzərindən klassik Uzaqdan İcra imkanlarına əlavə olaraq, “odRun” funksiyası kommunikasiya kanalı kimi “OneDrive” əsasında başqa mövzu üçün cavabdehdir. Bu, bu zərərli proqramın unikal hissəsidir.

   
   

   Gördüyümüz kimi “odRun” yəqin ki, “OneDrive” (OneDriveRun) adını daşıyır və ilk addım olaraq “Odconnect” funksiyasından istifadə edərək OneDrive bağlantısının yaradılmasını ehtiva edir:

   
   

8. Gördüyünüz kimi, əvvəlcə “machineUUID” sətri boş sətir kimi təyin edilir. Adından da göründüyü kimi, qurban cihazının Machine UUID kodunu əldə edən “getMachineUUID()” funksiyasının icrası izlənilir:

   
   

9. Sonra görə bilərik ki, OneDrive bağlantısı “OdConnect” funksiyasından istifadə etməklə həyata keçirilir – bağlantı yeni giriş nişanları və yeniləmə nişanlarının yaradılması/güncəllənməsi üçün “login[.]microsoftonline[.]com” hesabına həyata keçirilir. .

   
   

10. “WriteFileToOneDrive” funksiyası “checkFile” funksiyası tərəfindən aparılan yoxlama əsasında hədəf kompüterdə cari qurban maşını UUID kimi adlandırılan heç bir fayl olmadığı müddətcə çağırılan növbəti funksiyadır.

• "checkFile": Bu funksiya cari OneDrive istifadəçisinin əsas qovluğunda == machineUUID adlı faylın olub olmadığını yoxlayır.

  
  

11. Əgər belə bir fayl yoxdursa, “writeFileToOneDrive()” oyuna daxil olur və heç bir prefiks olmadan cari qurban Kompüter UUID adlı fayl yaradır.

12. “odRun”un növbəti hissəsi UUID-in məzmununu əldə edən “getFiles()” funksiyasıdır.

Cihazın machineUUID-si tərəfindən adlandırılan OneDrive faylı (prefikslər olmadan).

• Faylın məzmunu boş deyilsə, onun “göndər” sözü ilə başlayıb-başlamadığını yoxlayır:
  • O, məzmunun bir qədər normallaşdırılmasını həyata keçirir, onu növbəti yoxlamalara hazırlayır - “göndər” sətrini silməklə və “\”“ sətrini “” (heç nə) ilə əvəz etməklə onu “ filenameForDownload “ adlı dəyişəndə saxlayaraq
  • filenameForDownload getFileDownloadUrl funksiyasına ötürülür. Bu, təcavüzkarın seçdiyi faylı alır. Təcavüzkar UUID faylında “göndər” sözündən sonra fayl adını göstərəcək və onu “user.home”\downloads (endirmələr qovluğu) olan qurban maşınında müəyyən təyinat yoluna saxlayacaq.
  • Bundan sonra getFileDownloadUrl funksiyasının çıxışı əsasında uzaqdan faylı yerli qurban cihazına endirərək “ downloadFile ” funksiyası çağırılır.
  • Təcavüzkar "odRun" proqramının bir hissəsi kimi dərhal sonra icra edilən " writeFileToOneDrive " istifadə edərək faylın icrası haqqında göstəriş alır və aşağıdakı "rf_" + "fayl göndər" + filenameForDownload + "bitdi" → hücumçuya xəbər verir. icranın həyata keçirildiyini bildirir. Bundan sonra, “writeFileToOneDrive” başqa bir icrası var ki, burada “cf_” + machineUUID adlı başqa bir fayl, heç bir məzmunu olmayan OneDrive-a yazılır.
• Faylın məzmunu boş deyilsə, lakin “göndər” ilə başlamırsa :

  • cf_MachineUUID faylının məzmunu icra ediləcək.

  • Yenə də icra cavabının məzmunu ilə “ writeFileToOneDrive “, ilk “rf_” + machineUUID istifadə edərək, OneDrive-a fayl yazaraq izlədi.

  • Və "cf_" faylını yazmaq və boşaltmaq üçün " writeFileToOneDrive "-dən başqa bir istifadə, əsasən eyni əmrin başqa bir icrasına mane olur (zərərli proqram bir döngədə işlədiyi üçün).

    
    

Qısaca ümumiləşdirsək, bu zərərli proqramın işləyə biləcəyi iki fərqli C2 kanalı var:

• HTTPS Socket C2 : uzaq Azure VM- dən əmrləri qəbul edən və onları PowerShell kontekstində yerinə yetirən daha klassik yanaşma.

• OneDrive əsaslı C2 : bu daha unikaldır və işləmə üsulu bir az daha mürəkkəb və yaradıcıdır. Buraya üç müxtəlif fayl daxildir, bunların hamısına qurban cihazının UUID-si daxildir, bəziləri prefikslərlə (rf_ və cf_). Təhdid aktyorunun Microsoft Graph istifadə edərək əmrlər göndərməsini və qəbul etməsini asanlaşdırmaq üçün.

  
  

  Qeyd : Qeyd etmək vacibdir ki, bu zərərli proqram fayl ötürülməsi daxil olmaqla, standart əmr icrasından başqa əlavə imkanlara malikdir. Bununla belə, yuxarıdakı ətraflı məlumat yalnız əmrin icrası aspektinə yönəlmişdir.

  
  

Təcavüzkarın İnfrastrukturu kimi Microsoft Xidmətləri/Tətbiqləri

Bu məqamda aydın olur ki, bu hücum sadə texnikaları mürəkkəb, unikal taktikalarla məharətlə birləşdirib. İlkin araşdırmamızın diqqətəlayiq cəhətlərindən biri kampaniya boyu inteqrasiya olunmuş Microsoft infrastrukturundan və xidmətlərindən geniş istifadə edilməsi idi.

Zərərli proqramı təhlil etdikdən və yeni məlumatı araşdırma anlayışlarımızla əlaqələndirdikdən sonra biz təcavüzkarın müxtəlif xidmətlərdən istifadə etməsi və onların məqsədləri haqqında daha aydın başa düşə bildik. Biz aşkar etdik ki, Microsoft xidmətlərindən və infrastrukturundan istifadə ilkin olaraq həyata keçirildiyindən daha genişdir.

Qısa xülasə üçün aşağıdakı cədvələ baxın:

Kompromis Göstəriciləri (IOCS)

• Təcavüzkarın sahib olduğu məlum Entra ID icarəçiləri:
  • C5f077f6-5f7e-41a3-8354-8e31d50ee4d
  • 893e5862-3e08-434b-9067-3289bec85f7d
• Təcavüzkar müştəri identifikatorları tərəfindən qeydə alınmış məlum proqramlar:
  • B686e964-b479-4ff5-bef6-e360321a9b65
  • 2c73cab1-a8ee-4073-96fd-38245d976882
• Təcavüzkar tərəfindən istifadə edilən Giriş ID icarəçiləri (Həmin domenlərə gedən DNS sorğusunu axtarın):
  • SafeShift390[.]onmicrosoft[.]com
  • GreenGuard036[.]onmicrosoft[.]com
• İstintaqın bir hissəsi kimi tapılan IOC faylı (SHA256):
  • ROMServer.exe a515634efa79685970e0930332233aee74ec95aed94271e674445712549dd254
  • HookDrv.dll 1040aede16d944be8831518c68edb14ccbf255feae3ea200c9401186f62d2cc4
  • ROMFUSClient.exe 7f61ff9dc6bea9dee11edfbc641550015270b2e8230b6196e3e9e354ff39da0e
  • AledensoftIpcServer.dll d6af24a340fe1a0c6265399bfb2823ac01782e17fc0f966554e01b6a1110473f
  • ROMwln.dll 7f33398b98e225f56cd287060beff6773abb92404afc21436b0a20124919fe05
• IP ünvanları:
  • 40.90.196[.]221
  • 40.90.196[.]228
  • 38.180.136[.]85
  • 213.87.86[.]192

Təhdid Ovçuluğu Sorğuları

Yuxarıda qeyd olunan xüsusi IOC-lara əlavə olaraq, biz eyni aktyor tərəfindən törədilən, eyni kampaniya çərçivəsində həyata keçirilən və ya oxşar xüsusiyyətləri (TTP) paylaşan hücumları aşkar etmək üçün istifadə edilə bilən çoxsaylı təhlükə axtarış sorğuları hazırladıq.

Qeyd: VEILDrive üçün tövsiyə olunan ov vaxtı 2024-cü ilin iyul ayındandır.

HUNTING SORĞU 1 : Xüsusi Bayraqları olan Javaw Yumurtlama Powershell - Qeyri-adi Davranış

• Sorğunun məntiqi: Təhlil zamanı biz müəyyən etdik ki, təcavüzkarın Uzaqdan Giriş Aləti (RAT) icra prosesinin bir hissəsi kimi maşının UUID-ni əldə etmək üçün Powershell-dən istifadə edib. Bu sorğu, təhdid aktyoru tərəfindən istifadə edilən xüsusi əmr xətti bayraqları ilə javaw.exe tərəfindən yaradılan Powershell-in qeyri-adi hallarını aşkar edir.

• Sorğu:

   SELECT EVENT_TIME, AGENT_ID, PARENT_PROCESS_NAME, PARENT_PROCESS_COMMANDLINE, INITIATING_PROCESS_NAME, INITIATING_PROCESS_COMMANDLINE, TARGET_PROCESS_NAME, TARGET_PROCESS_COMMANDLINE, TARGET_PROCESS_OS_PID FROM INVESTIGATION.EDR_PROCESS_CREATION_EVENTS WHERE 1=1 AND PARENT_PROCESS_NAME ILIKE '%javaw%' AND INITIATING_PROCESS_NAME ILIKE '%cmd%' AND TARGET_PROCESS_NAME ILIKE '%powershell%' AND TARGET_PROCESS_COMMANDLINE ILIKE 'powershell.exe -ExecutionPolicy Bypass -NoExit -NoProfile %' AND EVENT_TIME > current_timestamp - interval '60d'

  
  

HUNTING SORĞU 2: Planlaşdırılmış Tapşırıqlar vasitəsilə ROM Alətinin Davamlılığı

• Sorğu məntiqi: Bu sorğu davamlılıq üçün təhdid aktorunun istifadə etdiyi ROM alətinin icrası ilə qeydiyyatdan keçən planlaşdırılmış tapşırığın nümunələrini aşkarlayır.

• Sorğu:

   SELECT EVENT_TIME AS EVENT_TIME, AID AS AGENT_ID, CID AS COMPUTER_ID, EVENT_SIMPLE_NAME AS EVENT_NAME, RAW:TaskName AS TASK_NAME, RAW:TaskExecCommand AS TASK_EXEC_COMMAND, RAW:TaskAuthor AS TASK_AUTHOR, RAW:UserName AS USER_NAME --- Adjust according to your EDR of choice FROM RAW.CROWDSTRIKE_RAW_EVENTS WHERE EVENT_SIMPLE_NAME = 'ScheduledTaskRegistered' AND TASK_EXEC_COMMAND ILIKE '%romserver%' AND EVENT_TIME > CURRENT_TIMESTAMP - interval '60d'

HUNTING QUERY 3 : Qeyri-Təşkilati İstifadəçilər Microsoft Komandaları vasitəsilə Üçüncü Tərəf Sharepoint Domenlərinə Linkləri Paylaşır

• Sorğu məntiqi: Bu sorğu Komandalar söhbətində SharePoint linkinin paylaşıldığı, lakin SharePoint linkinin domeni söhbət iştirakçılarının heç birinə aid olmadığı halları aşkarlayır. Bu, təşkilat daxilində şübhəli olmayan istifadəçilərlə faylları və ya məlumatı paylaşmaq üçün xarici domendən istifadə edilən potensial fişinq cəhdini və ya məlumatların çıxarılmasını göstərə bilər.
• Sorğu:

 SET YOUR_ORGANIZATION_NAME = 'hunters'; SELECT EVENT_TIME, ORGANIZATION_ID AS ORG_ID, OPERATION AS EVENT_TYPE, SPLIT_PART(LOWER(SPLIT_PART(USER_ID, '@', 2)), '.', 1) AS SENDER_ORG_DOMAIN, RECORD_SPECIFIC_DETAILS:message_ur_ls AS MESSAGE_URLS, WORKLOAD AS WORKLOAD, USER_ID AS USER_ID, RECORD_SPECIFIC_DETAILS:chat_thread_id AS CHAT_THREAD_ID, RECORD_SPECIFIC_DETAILS:communication_type AS COMMUNICATION_TYPE, RECORD_SPECIFIC_DETAILS:members[0].DisplayName AS MEMBER_DISPLAY_NAME, RECORD_SPECIFIC_DETAILS:members[0].UPN AS MEMBER_UPN, RECORD_SPECIFIC_DETAILS:members[0] AS MEMBERS, RECORD_SPECIFIC_DETAILS:resource_tenant_id AS RESOURCE_TENANT_ID, RECORD_SPECIFIC_DETAILS FROM RAW.O365_AUDIT_LOGS WHERE NOT USER_ID ILIKE '%' || $YOUR_ORGANIZATION_NAME || '%' AND (NOT (MESSAGE_URLS ILIKE '%' || SENDER_ORG_DOMAIN || '%') AND MESSAGE_URLS ILIKE '%sharepoint%') AND NOT MESSAGE_URLS ILIKE '%' || $YOUR_ORGANIZATION_NAME || '%' AND EVENT_TIME > CURRENT_TIMESTAMP - interval '60d'

HUNTING QUERY 4 : Microsoft Teams - Fişinq aşkarlanması - Qeyri-ümumi domenlərdən çoxsaylı DM-lər

• Sorğu məntiqi: Aşağıdakı sorğu ümumi olmayan domenlərdən olan xarici istifadəçilər tərəfindən təkbətək söhbətdə göndərilən mesajları aşkar edir. Sorğu tarixi fəaliyyətə əsaslanan geniş şəkildə istifadə olunan domenləri süzgəcdən keçirir və fişinq hücumları həyata keçirə biləcək söhbətlərə əlavə edilmiş xarici üzvləri müəyyən edir.

• Sorğu:

   SET YOUR_DOMAIN_NAME = 'hunters'; --- GET EXTERNAL TEAMS AND ONEDRIVE USERS OF THE LAST 3 MONTHS - TO CLEAN EXTENSIVELY USED DOMAINS WITH COMMONLY_USED_DOMAINS AS ( SELECT LOWER(SPLIT_PART(USER_ID , '@', 2)) AS DOMAIN_COMMONLY_USED, MIN(EVENT_TIME) AS MIN_EVENT_TIME, MAX(EVENT_TIME) AS MAX_EVENT_TIME, ARRAY_AGG(DISTINCT OPERATION) AS OPERATIONS, COUNT(*) AS COUNTER FROM RAW.O365_AUDIT_LOGS WHERE WORKLOAD IN ('MicrosoftTeams', 'OneDrive') AND EVENT_TIME > CURRENT_TIMESTAMP - interval '90d' AND USER_ID ILIKE '%@%' GROUP BY DOMAIN_COMMONLY_USED HAVING COUNTER > 20 ), ---- Get List of External Domains that recently communicated with our organization using Microsoft Teams LATEST_EXTERNAL_DOMAINS AS ( SELECT USER_ID AS LATEST_EXT_USERS, LOWER(SPLIT_PART(USER_ID , '@', 2)) AS USER_DOMAIN, MIN(EVENT_TIME) AS MIN_EVENT_TIME, MAX(EVENT_TIME) AS MAX_EVENT_TIME, ARRAY_AGG(DISTINCT OPERATION) AS OPERATIONS, ARRAY_AGG(DISTINCT RECORD_SPECIFIC_DETAILS:communication_type) AS COMMUNICATION_TYPE, COUNT(*) AS COUNTER FROM RAW.O365_AUDIT_LOGS WHERE EVENT_TIME > CURRENT_TIMESTAMP - interval '50d' AND NOT USER_ID ILIKE '%' || $YOUR_DOMAIN_NAME || '%' AND NOT USER_ID IN ('app@sharepoint') AND USER_ID ILIKE '%@%' -- CLEAN-UP OF EXTENSIVELY USED DOMAINS AND USER_DOMAIN NOT IN (SELECT DISTINCT DOMAIN_COMMONLY_USED FROM COMMONLY_USED_DOMAINS) AND OPERATION IN ('MemberAdded', 'ChatCreated') AND RECORD_SPECIFIC_DETAILS:communication_type = 'OneOnOne' GROUP BY USER_ID HAVING COUNT(*) > 5 ) SELECT EVENT_TIME, ORGANIZATION_ID AS ORG_ID, WORKLOAD AS WORKLOAD, OPERATION AS OPERATION, USER_ID AS USER_ID, LOWER(SPLIT_PART(USER_ID , '@', 2)) AS USER_DOMAIN, RECORD_SPECIFIC_DETAILS:chat_thread_id AS CHAT_THREAD_ID, RECORD_SPECIFIC_DETAILS:communication_type AS COMMUNICATION_TYPE, RECORD_SPECIFIC_DETAILS:members[0].DisplayName AS MEMBER_DISPLAY_NAME_0, RECORD_SPECIFIC_DETAILS:members[0].UPN AS MEMBER_UPN_0, RECORD_SPECIFIC_DETAILS:members[0] AS MEMBERS_0, RECORD_SPECIFIC_DETAILS:members[1].DisplayName AS MEMBER_DISPLAY_NAME_2, RECORD_SPECIFIC_DETAILS:members[1].UPN AS MEMBER_UPN_2, RECORD_SPECIFIC_DETAILS:members[1] AS MEMBERS_2, RECORD_SPECIFIC_DETAILS:resource_tenant_id AS RESOURCE_TENANT_ID, RECORD_SPECIFIC_DETAILS, RAW:ClientIP AS CLIENT_IP FROM RAW.O365_AUDIT_LOGS WHERE 1=1 AND RECORD_SPECIFIC_DETAILS:communication_type = 'OneOnOne' AND ( RECORD_SPECIFIC_DETAILS:members[0].UPN IN (SELECT LATEST_EXT_USERS FROM LATEST_EXTERNAL_DOMAINS) OR RECORD_SPECIFIC_DETAILS:members[1].UPN IN (SELECT LATEST_EXT_USERS FROM LATEST_EXTERNAL_DOMAINS) ) AND USER_ID ILIKE '%' || $YOUR_DOMAIN_NAME || '%' AND OPERATION = 'MemberAdded' AND EVENT_TIME > CURRENT_TIMESTAMP - interval '50d';

• Dərin sorğu məntiqi: Bu sorğu bir az mürəkkəb olduğundan, burada məntiqin izahı verilmişdir. Əvvəlcə iki görünüş yaratmaq üçün Snowflake-in "CTE" xüsusiyyətindən istifadə edirik:

  1. COMMONLY_USED_DOMAINS:
     • Domen adlarını '@' hərfindən sonra sətri bölməklə istifadəçi identifikatorundan çıxarırıq.
     • Son 90 gün ərzində hər bir domen tərəfindən yaradılan bütün hadisələri sayın
     • 20-dən çox hadisəsi olan domenləri saxlayın və onları ümumi hesab edin. Bunu ehtiyaclarınıza uyğun olaraq tənzimləyə bilərsiniz.
  2. SON_EXTERNAL_DOMAINS:
     • Son 50 gündəki bütün hadisələrdən əvvəlki görünüşdə müəyyən edilmiş daxili domenləri və çox istifadə olunan domenləri süzün
     • Birbaşa mesajların göndərilməsi və Komandalara üzv əlavələri ilə bağlı 5-dən çox hadisəsi olan bütün domenləri sorğulayın.

  Nəhayət, biz LATEST_EXTERNAL_DOMAINS domenindən süzülmüş nəticələri sorğulayaraq istifadəçi və onunla əlaqəli domen haqqında ətraflı məlumat əldə edirik.

  
  

Gigiyena Nuggets

Biz aktyorun istifadə etdiyi çoxsaylı hücum üsulları ilə bağlı ov və araşdırma aspektlərini əhatə etdik. Həmin zərərli üsul və üsullardan bəzilərinin müxtəlif kampaniyalarda istifadə olunduğu da məlumdur.

Təşkilatınızı bu təhlükələrdən qorumaq təşkilati infrastrukturunuzun müxtəlif hissələrini hədəf alan uğurlu hücumlar riskini əhəmiyyətli dərəcədə azalda bilər.

Təhlükəsizlik duruşunuzu artırmaq üçün istifadə edilə bilən bir neçə Gigiyena Nuggets:

1. Microsoft Teams vasitəsilə uğurlu fişinq hücumları şansını azaltmaq üçün burada bir neçə addım atmaq olar:
   • Varsayılan olaraq, Microsoft Komandaları kənar kontaktlarla təkbətək söhbət etməyə imkan verən “Xarici Giriş”ə icazə verir. Bu, təşkilatınız üçün vacib deyilsə, bu seçimi deaktiv etməyi düşünün.
   • Xarici əlaqə lazımdırsa, onu yalnız etibarlı domenlərlə məhdudlaşdırın.
   • Microsoft Teams-də xarici tərəflərlə ünsiyyət qurmağın başqa bir yolu onları qonaq və ya üzv kimi əlavə etməkdir. Biz yalnız seçilmiş, yüksək imtiyazlı istifadəçilərə onu idarə etməyə icazə verərək, bu funksiyanı məhdudlaşdırmağı tövsiyə edirik.
2. Uzaqdan idarəetmə vasitələrindən istifadə edən kiberhücumların artması qanuni şəkildə istifadə edilən alətlərlə təhdid subyektləri tərəfindən istismar edilən alətlər arasında aydın fərqlərin olmasını tələb edir. Budur bir neçə tövsiyə:
   • Uzaqdan idarəetmə alətlərini biznes məqsədləri üçün tələb olunan xüsusi, təsdiqlənmiş tətbiqlərlə məhdudlaşdırın. Quick Assist Microsoft Mağazasından asanlıqla endirilə bilər; təşkilatınızın ağ siyahısında deyilsə, istifadəsini bloklamağı düşünün. Siz AppLocker, Windows Firewall qaydaları və ya MDM idarəetməsi kimi tədbirləri tətbiq etməklə girişi məhdudlaşdıra bilərsiniz.
   • Tez-tez istifadə olunan uzaqdan idarəetmə alətlərini izləyin və qeyri-adi və ya icazəsiz üçüncü tərəf alətlərinə nəzarət edin. Məsələn, Quick Assist istifadə olunursa və İT komandanız uzaqdan dəstək üçün ona etibar etmirsə, o, həyəcan siqnalını işə salmalıdır.
3. Təhlükəsizlik Maarifləndirmə Təlimi – Bu, klişe kimi səslənə bilər, lakin insan səhvləri ardıcıl olaraq uğurlu kiberhücumların əsas səbəblərindən biridir. Təhlükəsizlik maarifləndirmə təlimi sizi növbəti pozuntudan qoruyaraq bu baxımdan fərq yarada bilər.
   • Biz onu vəhşi təbiətdə görünən təhlükələrə diqqət yetirməyi və uyğunlaşdırmağı tövsiyə edirik. Məsələn, Microsoft Teams, Slack və ya hətta klassik telefon zəngləri kimi kommunikasiya platformaları vasitəsilə İT təqlidi halları artmaqdadır. Zəhmət olmasa işçilərinizin bununla necə məşğul olacağını bildiklərinə əmin olun.

Nəticə

• VEILDrive sadəliyi və mürəkkəbliyi birləşdirir. OneDrive üzərindən C2 ilə paralel olaraq klassik C2 xüsusiyyətlərinin istifadəsinin, həmçinin yüksək səviyyəli EDR-nin aşkar etmədiyi zərərli proqramların icrası ilə birlikdə klassik planlaşdırılmış tapşırıq əsaslı davamlılığın istifadəsinin şahidi olmaq maraqlı idi.

• Təhqiqat və təhdid tədqiqatının bir hissəsi kimi müəyyən edilən xüsusiyyətlər maraqlı idi və onlar bizə bu təhlükə aktyorunun necə işlədiyini, hansı məlum xidmətlərdən sui-istifadə etdiyini, onlardan necə və hansı məqsədlə sui-istifadə etdiyini daha yaxşı anlamağa imkan verdi.

• VEILDrive-da C2 rabitəsi üçün OneDrive-dan sui-istifadə üsulu unikal xüsusiyyətlərə malik idi. Bununla belə, C2 məqsədləri üçün OneDrive-dan sui-istifadənin ümumi konsepsiyası son aylarda artmaqdadır və bu, yadda saxlamaq lazım olan bir şeydir.

• Microsoft Teams, Slack və oxşar xidmətlər kimi kommunikasiya platformalarında nizə-fishing vasitəsilə ilkin giriş getdikcə daha çox yayılmışdır.

• Zaman keçdikcə bunun daha da yaygınlaşacağını proqnozlaşdırırıq. Beləliklə, bu aspektlə bağlı gigiyena və duruş tədbirləri (yuxarıda Gigiyena Nuggets-də qeyd edildiyi kimi) çox vacibdir.

• Uzaqdan İdarəetmə alətləri artıq təhlükə iştirakçıları arasında çox populyardır. Bu cür vasitələrdən istifadə edərək icazəsiz giriş potensialını minimuma endirmək üçün müxtəlif yanaşmalar tətbiq oluna bilər. Bizim nöqteyi-nəzərimizə görə, bu sahədə tövsiyə olunan yanaşma ağ siyahıya salınma (icazə verilən siyahı) və güclü monitorinqdir.

• Biz gözləyirik ki, oxşar üsul və xüsusiyyətlərdən istifadə edən bu xarakterli daha çox kampaniyalar ortaya çıxacaq. Buna görə də, bu tip təhlükə üçün davamlı monitorinq və proaktiv təhlükə ovlanması tövsiyə olunur.

  
  

Təhdidlərin ovlanması ilə bağlı araşdırmalar, fəaliyyətlər və sorğular haqqında məlumatlı olmaq üçün Team Axon-un X/Twitter hesabını izləyin ( @team__axon ).