微软软件工具滥用致网络攻击风险增加

关键内容

• 攻击者利用微软的SaaS工具实施隐秘的钓鱼与恶意软件攻击。
• 目标是美国关键基础设施的员工，攻击手法巧妙，借用之前受损组织的账户。
• 使用的恶意软件易于阅读，且规避了传统防御措施。

根据 的报道，受到攻击的组织基础设施被进一步入侵，这使得通过滥用微软的SaaS工具（包括 、SharePoint、Teams 和 QuickAssist）进行隐秘的钓鱼和恶意软件攻击成为可能，这一切都是 VEILDrive 攻击活动的一部分。

分析公司 Hunters 的研究显示，攻击者通过一个曾被攻击的组织"Org A"的账户，假装成IT员工，向名为"Org C"的美国关键基础设施实体的员工发送 Teams 消息，试图请求通过 Quick Assist 获得远程系统访问权限。目标随后被诱导下载一个托管在另一个名为"OrgB"的受害者那里ZIP压缩文件，文件中包含 LiteManager 远程访问工具，以及另一个包含基于Java的恶意软件的ZIP文件，该恶意软件能够促进 PowerShell命令的获取与执行。Hunters的研究人员表示：“这种依赖于SaaS的策略使得实时检测变得复杂，同时规避了传统的防御措施。该恶意软件具有零混淆和良好结构的代码，违背了通常以规避为目的的设计趋势，使得它异常易读且简单。”

总结： 这种攻击方式的复杂性和隐秘性，给网络安全带来了新的挑战，尤其是在利用知名工具进行攻击的情况下，企业需要加强对这类攻击的防范。