Аналитики Elastic Security Labs рассказали о новой малвари FinalDraft, которая использует черновики писем в Outlook для маскировки своих C&C-коммуникаций.

По информации специалистов, обнаруженные атаки совершаются с помощью инструментария, в состав которого входят кастомный загрузчик вредоносного ПО PathLoader, бэкдор FinalDraft и несколько утилит для пост-эксплуатации.

Отмечается, что злоупотребление возможностями Outlook направлено на сокрытие коммуникаций, что позволяет злоумышленникам осуществлять эксфильтрацию данных, проксирование, инъекции в процессы и боковое перемещение, оставляя минимум следов.

Атаки начинаются с того, что злоумышленники компрометируют систему целевого пользователя с помощью PathLoader — небольшого исполняемого файла, который выполняет шелл-код, ответственный за развертывание малвари FinalDraft, которая загружается из инфраструктуры атакующих.

Вредонос FinalDraft предназначен для кражи данных и осуществления инъекций в процессы. После загрузки конфигурации и генерации идентификатора сессии малварь устанавливает связь посредством Microsoft Graph API, отправляя и получая команды через черновики в Outlook. Использование черновиков вместо отправки писем помогает избежать обнаружения и смешаться с обычным трафиком Microsoft 365.

Отмечается, что FinalDraft получает OAuth-токен Microsoft с помощью refresh-токена, встроенного в конфигурацию, и сохраняет его в реестре Windows для постоянного доступа.

Команды злоумышленников скрываются в черновиках (r_<session-id>), а ответы сохраняются в новых черновиках (p_<session-id>). После выполнения команд черновики удаляются.

В общей сложности FinalDraft поддерживает 37 команд, наиболее важными из которых исследователи считают:

  • хищение данных (файлов, учетных данных, системной информации);
  • инъекции в процессы (запуск полезной нагрузки в легитимных процессах, например mspaint.exe);
  • атаки типа Pass-the-Hash (кража учетных данных для аутентификации с целью бокового перемещения);
  • проксирование (создание скрытых сетевых туннелей);
  • файловые операции (копирование, удаление или перезапись файлов);
  • выполнение PowerShell (без запуска powershell.exe).

В отчете исследователей отмечается, что был обнаружен и Linux-вариант FinalDraft, который тоже может использовать Outlook для своих операций через REST API и Graph API, а также HTTP/HTTPS, обратный UDP и ICMP, bind/reverse TCP и C&C-коммуникации на базе DNS.

Схема атаки

В отдельном отчете исследователи описывают кибершпионскую кампанию REF7707, связанную с перечисленными вредоносами. Кампания была нацелена на министерство иностранных дел в одной из стран Южной Америки, но анализ инфраструктуры атакующих также выявил жертв из Юго-Восточной Азии.

Как выяснилось, злоумышленники неоднократно атаковали различные организации через взломанные эндпоинты телекоммуникационных компаний и провайдеров интернет-инфраструктуры в Юго-Восточной Азии.

Кроме того, во время изучения этой кампании был найден еще один ранее неизвестный загрузчик малвари GuidLoader, способный расшифровывать и выполнять полезную нагрузку в памяти.

К своим отчетам специалисты приложили правила YARA, которые помогут обнаружить GuidLoader, PathLoader и FinalDraft.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии