계속되는 위협 캠페인 베일드라이브 Teams, SharePoint, Quick Assist, OneDrive 등 Microsoft의 합법적인 서비스를 운영 방식의 일부로 활용하는 것으로 관찰되었습니다.
이스라엘 사이버 보안 회사인 Hunters는 새로운 보고서에서 “공격자는 Teams, SharePoint, Quick Assist 및 OneDrive를 포함한 Microsoft SaaS 서비스를 활용하여 이전에 손상된 조직의 신뢰할 수 있는 인프라를 악용하여 스피어 피싱 공격을 배포하고 악성 코드를 저장했습니다”라고 밝혔습니다.
“이 클라우드 중심 전략을 통해 위협 행위자는 기존 모니터링 시스템의 탐지를 피할 수 있었습니다.”
헌터스는 미국의 중요 인프라 조직을 표적으로 한 사이버 사고에 대응한 후 204년 9월에 이 캠페인을 발견했다고 말했습니다. 회사 이름을 공개하지 않고 대신 “Org C”라는 명칭을 부여했습니다.
이 활동은 한 달 전에 시작된 것으로 추정되며 공격은 명령 및 제어(C2)를 위해 OneDrive를 사용하는 Java 기반 악성 코드를 배포하면서 정점에 이르렀습니다.
이 작전의 배후에 있는 위협 행위자는 IT 팀 구성원을 사칭하고 Quick Assist 도구를 통해 시스템에 대한 원격 액세스를 요청하여 Org C의 직원 4명에게 Teams 메시지를 보낸 것으로 알려졌습니다.
이 초기 침해 방법이 눈에 띄는 점은 공격자가 이 목적을 위해 새 계정을 만드는 것이 아니라 잠재적인 이전 피해자(Org A)에 속한 사용자 계정을 활용했다는 것입니다.
헌터스는 “Org C의 대상 사용자가 받은 마이크로소프트 팀 메시지는 기본적으로 모든 외부 조직과 일대일 통신을 허용하는 마이크로소프트 팀의 ‘외부 액세스’ 기능을 통해 가능해졌다”고 말했다.
다음 단계에서 위협 행위자는 채팅을 통해 다른 테넌트(Org B)에서 호스팅된 ZIP 아카이브 파일(“Client_v8.16L.zip”)에 대한 SharePoint 다운로드 링크를 공유했습니다. ZIP 아카이브에는 LiteManager라는 또 다른 원격 액세스 도구가 포함되어 있습니다.
그런 다음 Quick Assist를 통해 얻은 원격 액세스를 사용하여 LiteManager 원격 모니터링 및 관리(RMM) 소프트웨어를 주기적으로 실행하기 위해 시스템에 예약된 작업을 생성했습니다.
또한 JAR(Java 아카이브) 형태의 Java 기반 악성코드와 이를 실행하기 위한 전체 JDK(Java Development Kit)가 포함된 동일한 방법을 사용하는 두 번째 ZIP 파일(“Cliento.zip”)도 다운로드됩니다.
이 악성코드는 하드 코딩된 Entra ID(이전의 Azure Active Directory) 자격 증명을 사용하여 공격자가 제어하는 OneDrive 계정에 연결하고 Microsoft Graph API를 사용하여 감염된 시스템에서 PowerShell 명령을 가져오고 실행하기 위한 C2로 사용하도록 설계되었습니다.
또한 HTTPS 소켓을 원격 Azure 가상 머신으로 초기화하는 폴백 메커니즘도 포함되어 있습니다. 이 메커니즘은 명령을 수신하고 PowerShell 컨텍스트에서 실행하는 데 활용됩니다.
Quick Assist 프로그램이 이런 방식으로 사용된 것은 이번이 처음이 아닙니다. 올해 5월 초, Microsoft는 Storm-1811로 알려진 재정적 동기를 지닌 사이버 범죄 그룹이 IT 전문가나 기술 지원 담당자인 것처럼 가장하여 액세스 권한을 얻고 Black Basta 랜섬웨어를 삭제하는 방식으로 빠른 지원 기능을 오용했다고 경고했습니다.
이번 개발은 Windows 제조업체가 탐지를 회피하는 수단으로 SharePoint, OneDrive, Dropbox와 같은 합법적인 파일 호스팅 서비스를 악용하는 캠페인을 관찰했다고 발표한 지 몇 주 후에 나온 것입니다.
헌터스는 “이 SaaS 의존 전략은 실시간 탐지를 복잡하게 만들고 기존 방어를 우회한다”고 말했습니다. “난독화가 없고 잘 구조화된 코드를 갖춘 이 악성 코드는 회피 중심 설계의 일반적인 추세를 무시하여 매우 읽기 쉽고 간단합니다.”