Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Microsoft Teams e OneDrive nelle Mani degli Hacker: La Minaccia Invisibile di VEILDrive

Luca Galuppi : 8 Novembre 2024 16:24

Un’ombra inquietante si aggira nei sistemi aziendali: la campagna di attacco VEILDrive sta violando l’infrastruttura cloud di Microsoft, sfruttando i suoi stessi servizi legittimi per sfuggire a qualsiasi tentativo di rilevamento. Microsoft Teams, SharePoint, Quick Assist e persino OneDrive sono finiti nelle mani dei cybercriminali, trasformati in potenti strumenti per diffondere malware senza destare sospetti.

L’azienda di cybersecurity israeliana Hunters, che ha scoperto l’operazione a settembre 2024, ha lanciato l’allarme: VEILDrive rappresenta una minaccia strategica per infrastrutture critiche, come dimostrato dall’attacco che ha colpito una grande organizzazione americana, identificata come “Org C”. Senza svelare il nome dell’azienda vittima, Hunters ha descritto un attacco sofisticato, iniziato già ad agosto, culminato con l’installazione di un malware basato su Java, progettato per connettersi ai server Command and Control dei cybercriminali tramite OneDrive.

L’arma segreta di VEILDrive: Un’infrastruttura fidata

Come può un attacco così sofisticato passare inosservato? La risposta è tanto geniale quanto spaventosa: VEILDrive sfrutta la fiducia che i servizi Microsoft SaaS godono nei sistemi aziendali. Questi attaccanti non hanno creato nuovi strumenti, non hanno installato software non riconosciuti: hanno usato i servizi stessi di Microsoft per stabilire un livello di accesso continuativo, discreto e pericolosamente letale.


CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC

Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.

Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


In una manovra di inganno senza precedenti, VEILDrive ha inviato messaggi tramite Teams a quattro dipendenti di “Org C”, impersonando membri dell’IT e richiedendo accesso remoto con Quick Assist. Ma la vera genialità dell’attacco sta nell’uso di un account già compromesso di un’altra azienda, “Org A”. Così, invece di generare sospetti con account falsi, hanno usato quello di una vittima precedente per insinuarsi nella nuova rete.

Microsoft Teams come porta d’ingresso per i Cybercriminali

Il tallone d’Achille sfruttato in questo attacco è una funzionalità di Microsoft Teams che consente la comunicazione diretta tra utenti di diverse organizzazioni tramite “Accesso Esterno”. Una funzione apparentemente innocua, ma che ha fornito un varco per i malintenzionati. Usare un servizio aziendale per lanciare un attacco contro un’altra azienda: un meccanismo di compromissione subdolo, che evidenzia come le politiche di fiducia tra piattaforme possano essere un’arma a doppio taglio.

Conclusione

Mentre il silenzio di Microsoft su questo fronte lascia spazio a preoccupazioni sempre più angoscianti, la campagna VEILDrive apre gli occhi su una realtà che non possiamo più ignorare. Nessuna infrastruttura, nessun servizio Cloud, per quanto fidato, può considerarsi immune. La domanda non è più “se” si verrà colpiti, ma “quando” e con quale sofisticazione.

VEILDrive ci lancia un segnale forte e chiaro: l’era della sicurezza garantita è finita. Le aziende devono abbandonare ogni illusione di protezione assoluta e riconoscere che oggi anche i servizi più fidati possono essere usati contro di loro.

Luca Galuppi
Appassionato di tecnologia da sempre. Lavoro nel campo dell’informatica da oltre 15 anni. Ho particolare esperienza in ambito Firewall e Networking e mi occupo quotidianamente di Network Design e Architetture IT. Attualmente ricopro il ruolo di Senior IT Engineer e PM per un’azienda di Consulenza e Servizi IT.

Lista degli articoli
Visita il sito web dell'autore

Articoli in evidenza

Codice Patriottico: da DDoSia e NoName057(16) al CISM, l’algoritmo che plasma la gioventù per Putin
Di Simone D'Agostino - 23/07/2025

Nel febbraio 2025 avevamo già osservato il funzionamento di DDoSIA, il sistema di crowd-hacking promosso da NoName057(16): un client distribuito via Telegram, attacchi DDoS contro obiettivi europ...

Vulnerabilità critiche in Cisco ISE: aggiornamenti urgenti necessari
Di Redazione RHC - 23/07/2025

Le vulnerabilità critiche recentemente scoperte nell’infrastruttura Cisco sono già state sfruttate attivamente dagli aggressori per attaccare le reti aziendali. L’azienda ha co...

Red Hot Cyber Conference 2026. La Quinta edizione a Roma lunedì 18 e martedì 19 Maggio
Di Redazione RHC - 23/07/2025

La Red Hot Cyber Conference ritorna! Dopo il grande successo della terza e quarta edizione, torna l’appuntamento annuale gratuito ideato dalla community di RHC! Un evento pensato per ...

Boom di cyberattacchi in Europa! Ogni 3 minuti un’azienda viene colpita
Di Redazione RHC - 23/07/2025

Con la rapida crescita delle minacce digitali, le aziende di tutto il mondo sono sotto attacco informatico. Secondo gli ultimi dati di Check Point Research, ogni organizzazione subisce in media 1,984 ...

Arriva LameHug: il malware che utilizza l’AI per rubare i dati sui sistemi Windows
Di Redazione RHC - 22/07/2025

La nuova famiglia di malware LameHug utilizza il Large Language Model (LLM) per generare comandi che vengono eseguiti sui sistemi Windows compromessi. Come riportato da Bleeping Computer, LameHug ...