Аналитики Elastic Security Labs
о новой малвари FinalDraft, которая использует черновики писем в Outlook для маскировки своих C&C-коммуникаций.
По информации специалистов, обнаруженные атаки совершаются с помощью инструментария, в состав которого входят кастомный загрузчик вредоносного ПО PathLoader, бэкдор FinalDraft и несколько утилит для пост-эксплуатации.
Отмечается, что злоупотребление возможностями Outlook направлено на сокрытие коммуникаций, что позволяет злоумышленникам осуществлять эксфильтрацию данных, проксирование, инъекции в процессы и боковое перемещение, оставляя минимум следов.
Атаки начинаются с того, что злоумышленники компрометируют систему целевого пользователя с помощью PathLoader — небольшого исполняемого файла, который выполняет шелл-код, ответственный за развертывание малвари FinalDraft, которая загружается из инфраструктуры атакующих.
Вредонос FinalDraft предназначен для кражи данных и осуществления инъекций в процессы. После загрузки конфигурации и генерации идентификатора сессии малварь устанавливает связь посредством Microsoft Graph API, отправляя и получая команды через черновики в Outlook. Использование черновиков вместо отправки писем помогает избежать обнаружения и смешаться с обычным трафиком Microsoft 365.
Отмечается, что FinalDraft получает OAuth-токен Microsoft с помощью refresh-токена, встроенного в конфигурацию, и сохраняет его в реестре Windows для постоянного доступа.
Команды злоумышленников скрываются в черновиках (r_<session-id>), а ответы сохраняются в новых черновиках (p_<session-id>). После выполнения команд черновики удаляются.
В общей сложности FinalDraft поддерживает 37 команд, наиболее важными из которых исследователи считают:
Схема атаки
В исследователи описывают кибершпионскую кампанию REF7707, связанную с перечисленными вредоносами. Кампания была нацелена на министерство иностранных дел в одной из стран Южной Америки, но анализ инфраструктуры атакующих также выявил жертв из Юго-Восточной Азии.
Как выяснилось, злоумышленники неоднократно атаковали различные организации через взломанные эндпоинты телекоммуникационных компаний и провайдеров интернет-инфраструктуры в Юго-Восточной Азии.
Кроме того, во время изучения этой кампании был найден еще один ранее неизвестный загрузчик малвари GuidLoader, способный расшифровывать и выполнять полезную нагрузку в памяти.
К своим отчетам специалисты приложили правила YARA, которые помогут обнаружить GuidLoader, PathLoader и FinalDraft.
По информации специалистов, обнаруженные атаки совершаются с помощью инструментария, в состав которого входят кастомный загрузчик вредоносного ПО PathLoader, бэкдор FinalDraft и несколько утилит для пост-эксплуатации.
Отмечается, что злоупотребление возможностями Outlook направлено на сокрытие коммуникаций, что позволяет злоумышленникам осуществлять эксфильтрацию данных, проксирование, инъекции в процессы и боковое перемещение, оставляя минимум следов.
Атаки начинаются с того, что злоумышленники компрометируют систему целевого пользователя с помощью PathLoader — небольшого исполняемого файла, который выполняет шелл-код, ответственный за развертывание малвари FinalDraft, которая загружается из инфраструктуры атакующих.
Вредонос FinalDraft предназначен для кражи данных и осуществления инъекций в процессы. После загрузки конфигурации и генерации идентификатора сессии малварь устанавливает связь посредством Microsoft Graph API, отправляя и получая команды через черновики в Outlook. Использование черновиков вместо отправки писем помогает избежать обнаружения и смешаться с обычным трафиком Microsoft 365.
Отмечается, что FinalDraft получает OAuth-токен Microsoft с помощью refresh-токена, встроенного в конфигурацию, и сохраняет его в реестре Windows для постоянного доступа.
Команды злоумышленников скрываются в черновиках (r_<session-id>), а ответы сохраняются в новых черновиках (p_<session-id>). После выполнения команд черновики удаляются.
В общей сложности FinalDraft поддерживает 37 команд, наиболее важными из которых исследователи считают:
- хищение данных (файлов, учетных данных, системной информации);
- инъекции в процессы (запуск полезной нагрузки в легитимных процессах, например mspaint.exe);
- атаки типа Pass-the-Hash (кража учетных данных для аутентификации с целью бокового перемещения);
- проксирование (создание скрытых сетевых туннелей);
- файловые операции (копирование, удаление или перезапись файлов);
- выполнение PowerShell (без запуска powershell.exe).
Схема атаки
В исследователи описывают кибершпионскую кампанию REF7707, связанную с перечисленными вредоносами. Кампания была нацелена на министерство иностранных дел в одной из стран Южной Америки, но анализ инфраструктуры атакующих также выявил жертв из Юго-Восточной Азии.
Как выяснилось, злоумышленники неоднократно атаковали различные организации через взломанные эндпоинты телекоммуникационных компаний и провайдеров интернет-инфраструктуры в Юго-Восточной Азии.
Кроме того, во время изучения этой кампании был найден еще один ранее неизвестный загрузчик малвари GuidLoader, способный расшифровывать и выполнять полезную нагрузку в памяти.
К своим отчетам специалисты приложили правила YARA, которые помогут обнаружить GuidLoader, PathLoader и FinalDraft.
