Главная страница » Индикаторы компрометации
0
8 месяцев
Индикаторы компрометации

VEILDrive Campaign IOCs

security

Исследователи из Hunters' Team AXON обнаружили продолжающуюся кампанию под названием «VEILDrive», которая использует SaaS-сервисы Microsoft для командно-контрольных операций (C2). Кампания, предположительно имеющая российское происхождение, началась в начале августа 2024 года и использует Microsoft Teams, SharePoint, Quick Assist и OneDrive для проведения фишинговых кампаний и хранения вредоносного ПО.

VEILDrive Campaign

Злоумышленники получают первоначальный доступ через фишинговые сообщения, отправленные через Microsoft Teams, выдавая себя за члена ИТ-команды и запрашивая удаленный доступ через Quick Assist. Получив доступ, злоумышленник загружает вредоносный .zip-файл, размещенный на сайте SharePoint и содержащий инструменты удаленного мониторинга и управления (RMM). Злоумышленники использовали эти инструменты для обеспечения постоянства, создавая запланированные задачи для многократного выполнения вредоносного ПО. Сопутствующее вредоносное ПО, основанный на Java .jar-файл под названием Cliento.jar, уклоняется от обнаружения и устанавливает постоянство с помощью запланированных задач и управляющих клавиш реестра. Он использует жестко закодированные учетные данные для аутентификации и доступа к OneDrive в целях C2, имея два канала C2: традиционный HTTPS Socket C2, взаимодействующий с виртуальной машиной Azure, и уникальный C2 на базе OneDrive. Этот канал C2 на базе OneDrive использует UUID файлов для идентификации жертв и удаленного выполнения команд, включая передачу файлов и выполнение команд. Вредоносная программа также использует виртуальные машины Azure и регистрацию приложений в Azure AD для дополнительных возможностей C2.

Indicators of Compromise

IPv4

  • 213.87.86.192
  • 38.180.136.85
  • 40.90.196.221
  • 40.90.196.228

Domains

  • GreenGuard036.onmicrosoft.com
  • SafeShift390.onmicrosoft.com

SHA256

  • 1040aede16d944be8831518c68edb14ccbf255feae3ea200c9401186f62d2cc4
  • 7f33398b98e225f56cd287060beff6773abb92404afc21436b0a20124919fe05
  • 7f61ff9dc6bea9dee11edfbc641550015270b2e8230b6196e3e9e354ff39da0e
  • a515634efa79685970e0930332233aee74ec95aed94271e674445712549dd254
  • d6af24a340fe1a0c6265399bfb2823ac01782e17fc0f966554e01b6a1110473f
Комментарии: 0
Похожие записи