Nauja kenkėjiška programinė įranga, vadinama „FinalDraft“, naudoja „Outlook“ el. Pašto projektus, skirtus komunikacijai komandoms ir kontrolei, išpuolių prieš ministeriją Pietų Amerikos šalyje.
Išpuolius atrado elastinės saugos laboratorijos ir pasikliaujate visu įrankių rinkiniu, kuriame yra pasirinktinis kenkėjiškų programų krautuvas, pavadintas „Pathloader“, „FinalDraft“ užpakalinė duris ir kelios po eksploatavimo komunalinės paslaugos.
Piktnaudžiavimas „Outlook“ šiuo atveju siekia pasiekti slaptus ryšius, leidžiančius užpuolikams atlikti duomenis apie duomenis, tarpinį, proceso įpurškimą ir šoninį judėjimą, paliekant minimalius įmanomus pėdsakus.
Atakos grandinė
Ataka prasideda nuo to, kad grėsmės aktorius, kompromituojantis „Targer“ sistemą su „Pathloader“ – mažu vykdomuoju failu, vykdančiu „ShellCode“, įskaitant „FinalDraft“ kenkėjišką programą, gautą iš užpuoliko infrastruktūros.
„Pathloader“ apima apsaugą nuo statinės analizės, atlikdamas API maišą ir naudojant stygų šifravimą.
„FinalDraft“ naudojamas duomenų eksfiltravimui ir proceso injekcijai. Įkėlęs konfigūraciją ir sukūręs sesijos ID, kenkėjiška programa užmezga ryšį per „Microsoft Graph API“, siųsdama ir gaudama komandas per „Outlook“ el. Pašto projektus.
„FinalDraft“ iš „Microsoft“ iš „Microsoft“ gauna „OAuth“ prieigos raktą, naudodamas savo konfigūraciją įterptą atnaujintą žetoną, ir saugo jį „Windows“ registre, kad gautų nuolatinę prieigą.
Šaltinis: elastinis saugumas
Naudojant „Outlook“ juodraščius, o ne siųsdami el. Laiškus, jis išvengia aptikimo ir susimaišo į įprastą „Microsoft 365“ srautą.
Užpuoliko komandos yra paslėptos juodraščiuose (R_
„FinalDraft“ palaiko iš viso 37 komandas, svarbiausios iš jų:
- Duomenų eksploatacija (failai, kredencialai, sistemos informacija)
- Proceso įpurškimas (naudingosios apkrovos vykdomos teisėtuose procesuose, tokiuose kaip „mspaint.exe“)
- „Pass-the-Hash“ atakos (pavogti autentifikavimo kredencialus šoniniam judėjimui)
- Tinklo tarpinis serveris (kuriant slaptus tinklo tunelius)
- Failų operacijos (kopijavimas, ištrynimas arba failų perrašymas)
- „PowerShell“ vykdymas (neišleidžiant „PowerShell.exe“)
Elastiškos saugos laboratorijos taip pat pastebėjo „Linux“ „FinalDraft“ variantą, kuris vis dar gali naudoti „Outlook“ per REST API ir grafiko API, taip pat HTTP/HTTPS, atvirkštinį UDP ir ICMP, BUND/atvirkštinį TCP ir DNS pagrįstą C2 mainą.
Šaltinis: elastinis saugumas
Tyrėjai pristato puolimo kampaniją, pavadintą REF7707, atskiroje ataskaitoje, kurioje aprašomos kelios OPSEC klaidos, priešingai nei panaudotas pažangių įsibrovimų rinkinys ir kuris paskatino užpuoliko ekspoziciją.
REF7707 yra kibernetinės ir funkcijos kampanija, orientuota į Pietų Amerikos užsienio reikalų ministeriją, tačiau infrastruktūros analizė atskleidė ryšius su Pietryčių Azijos aukomis, o tai rodo platesnę operaciją.
Tyrimas taip pat atskleidė dar vieną anksčiau neturintį dokumentų neturintį kenkėjiškų programų krautuvą, naudojamą atakose, pavadinimu „Guidloader“, galintis iššifruoti ir vykdyti naudingus krovinius atmintyje
Šaltinis: elastinis saugumas
Tolesnė analizė parodė, kad užpuolikas pakartotinai nukreipė didelės vertės institucijas per pažeistus telekomunikacijų ir interneto infrastruktūros tiekėjų Pietryčių Azijoje galutinius taškus.
Be to, buvo naudojama Pietryčių Azijos universiteto viešai saugojimo sistema, skirta kenkėjiškų programų naudingoms apkrovoms priglobti, ir tai rodo išankstinį kompromisą ar tiekimo grandinės atradimą.
„Yara“ taisyklės, padedančios gynėjams aptikti „GidroadLoader“, „Pathloader“ ir „FinalDraft“, yra prieinamos elastingo ataskaitų apačioje (1, 2).
