SecAtor

Новая вредоносная ПО под названием FinalDraft задействовала черновики писем в Outlook для передачи команд и управления в ходе атак на министерство в одной из стран Южной Америки.

Задетектить угрозу смогли исследователи Elastic Security Labs, раскрывая полный набор инструментов, включающий помимо бэкдора FinalDraft также специальный загрузчик вредоносного ПО PathLoader и несколько утилит на этапе постэксплуатации.

При этом скрытность связи реализовано благодаря злоупотреблению Outlook, что позволяет злоумышленникам осуществлять кражу данных, проксирование, внедрение процессов и горизонтальное перемещение, оставляя при этом минимально возможные следы.

Цепочка заражения начинается с того, что злоумышленник взламывает систему жертвы с помощью PathLoader - небольшого исполняемого файла, который запускает шелл-код, включающий вредоносную ПО FinalDraft, извлекаемую из инфраструктуры злоумышленника.

PathLoader обеспечивает защиту от статического анализа путем выполнения хеширования API и использования шифрования строк.

FinalDraft используется для эксфильтрации данных и внедрения процесса.

После загрузки конфигурации и генерации идентификатора сеанса вредоносная ПО устанавливает связь через API Microsoft Graph, отправляя и получая команды через черновики в электронной почте Outlook.

FinalDraft извлекает токен OAuth Microsoft, используя токен обновления, встроенный в его конфигурацию, и сохраняет его в реестре Windows для постоянного доступа.

Использование черновиков Outlook вместо отправки писем позволяет избежать обнаружения, смешиваясь с обычным трафиком Microsoft 365.

Команды от злоумышленника скрываются в черновиках (r_<session-id>), а ответы сохраняются в новых черновиках (p_<session-id>). После выполнения черновики команд удаляются, что затрудняет криминалистический анализ и делает обнаружение менее вероятным.

FinalDraft поддерживает в общей сложности 37 команд, в числе которых: кража данных, внедрение процесса (запуск полезных нагрузок в легитимных процессах, таких как mspaint.exe), атаки Pass-the-Hash, проксирование, операции с файлами и выполнение PowerShell (без запуска powershell.exe).

Elastic Security Labs также обнаружила версию FinalDraft для Linux, которая также может использовать Outlook через REST API и Graph API, а также HTTP/HTTPS, UDP и ICMP, TCP и обмен C2 на основе DNS.

Исследователи проанализировали кампанию, получившую название REF7707, в отдельном отчете, в котором описываются ряд ошибок opsec, которые по итогу привели к раскрытию злоумышленника.

REF7707 реализуется с целью кибершпионажа и направлена на структуры МИД в стране Южной Америки, однако анализ инфраструктуры выявил связи с жертвами из Юго-Восточной Азии, что позволяет предположить более масштабные контуры кампании.

В ходе расследования также был обнаружен еще один ранее недокументированный использовавшийся в атаках загрузчик вредоносного ПО, названный GuidLoader, который способен расшифровывать и выполнять полезные нагрузки в памяти.

Дальнейший анализ показал, что злоумышленник неоднократно атаковал крупные организации через скомпрометированные конечные точки операторов связи в Юго-Восточной Азии.

Кроме того, общедоступная система хранения данных университета Юго-Восточной Азии использовалась для размещения вредоносного ПО, что свидетельствует о предварительной компрометации или наличии плацдарма в цепочке поставок.

Правила YARA для Guidloader, PathLoader и FinalDraft, доступны в отчетах - 1 и 2.

www.elastic.co

You've Got Malware: FINALDRAFT Hides in Your Drafts — Elastic Security Labs

During a recent investigation (REF7707), Elastic Security Labs discovered new malware targeting a foreign ministry. The malware includes a custom loader and backdoor with many features including using Microsoft’s Graph API for C2 communications.

www.group-telegram.com/us/true_secator.com/6750

5.5K viewsFeb 18 at 09:51

Новая вредоносная ПО под названием FinalDraft задействовала черновики писем в Outlook для передачи команд и управления в ходе атак на министерство в одной из стран Южной Америки.

Задетектить угрозу смогли исследователи Elastic Security Labs, раскрывая полный набор инструментов, включающий помимо бэкдора FinalDraft также специальный загрузчик вредоносного ПО PathLoader и несколько утилит на этапе постэксплуатации.

При этом скрытность связи реализовано благодаря злоупотреблению Outlook, что позволяет злоумышленникам осуществлять кражу данных, проксирование, внедрение процессов и горизонтальное перемещение, оставляя при этом минимально возможные следы.

Цепочка заражения начинается с того, что злоумышленник взламывает систему жертвы с помощью PathLoader - небольшого исполняемого файла, который запускает шелл-код, включающий вредоносную ПО FinalDraft, извлекаемую из инфраструктуры злоумышленника.

PathLoader обеспечивает защиту от статического анализа путем выполнения хеширования API и использования шифрования строк.

FinalDraft используется для эксфильтрации данных и внедрения процесса.

После загрузки конфигурации и генерации идентификатора сеанса вредоносная ПО устанавливает связь через API Microsoft Graph, отправляя и получая команды через черновики в электронной почте Outlook.

FinalDraft извлекает токен OAuth Microsoft, используя токен обновления, встроенный в его конфигурацию, и сохраняет его в реестре Windows для постоянного доступа.

Использование черновиков Outlook вместо отправки писем позволяет избежать обнаружения, смешиваясь с обычным трафиком Microsoft 365.

Команды от злоумышленника скрываются в черновиках (r_<session-id>), а ответы сохраняются в новых черновиках (p_<session-id>). После выполнения черновики команд удаляются, что затрудняет криминалистический анализ и делает обнаружение менее вероятным.

FinalDraft поддерживает в общей сложности 37 команд, в числе которых: кража данных, внедрение процесса (запуск полезных нагрузок в легитимных процессах, таких как mspaint.exe), атаки Pass-the-Hash, проксирование, операции с файлами и выполнение PowerShell (без запуска powershell.exe).

Elastic Security Labs также обнаружила версию FinalDraft для Linux, которая также может использовать Outlook через REST API и Graph API, а также HTTP/HTTPS, UDP и ICMP, TCP и обмен C2 на основе DNS.

Исследователи проанализировали кампанию, получившую название REF7707, в отдельном отчете, в котором описываются ряд ошибок opsec, которые по итогу привели к раскрытию злоумышленника.

REF7707 реализуется с целью кибершпионажа и направлена на структуры МИД в стране Южной Америки, однако анализ инфраструктуры выявил связи с жертвами из Юго-Восточной Азии, что позволяет предположить более масштабные контуры кампании.

В ходе расследования также был обнаружен еще один ранее недокументированный использовавшийся в атаках загрузчик вредоносного ПО, названный GuidLoader, который способен расшифровывать и выполнять полезные нагрузки в памяти.

Дальнейший анализ показал, что злоумышленник неоднократно атаковал крупные организации через скомпрометированные конечные точки операторов связи в Юго-Восточной Азии.

Кроме того, общедоступная система хранения данных университета Юго-Восточной Азии использовалась для размещения вредоносного ПО, что свидетельствует о предварительной компрометации или наличии плацдарма в цепочке поставок.

Правила YARA для Guidloader, PathLoader и FinalDraft, доступны в отчетах - 1 и 2.

BY SecAtor