Исследователи безопасности обнаружили новое вредоносное ПО FinalDraft
- Оно получает команды из черновика электронной почты
- Оно способно извлекать данные, запускать PowerShell и другие команды
Специалисты по кибербезопасности из Elastic Security Labs обнаружили новое вредоносное программное обеспечение, названное FinalDraft. Это ПО использует черновики писем в Outlook для извлечения данных, выполнения команд PowerShell и других действий.
Вредоносное ПО является частью более крупного инструментария, использующегося в кампании REF7707, нацеленной на правительственные организации в Южной Америке и Юго-Восточной Азии.
Описание атаки
Атака начинается с того, что жертва как-то взаимодействует с загрузчиком PathLoader. Исследователи не уточняют, как именно это происходит, но можно предположить, что через фишинг, социальную инженерию или фальшивые взломы программного обеспечения.
Загрузчик устанавливает FinalDraft, который создает канал связи через API Microsoft Graph, используя черновики писем в Outlook. Для этого он получает токен OAuth от Microsoft, используя токен обновления, встроенный в его конфигурацию. Этот токен сохраняется в реестре Windows, что позволяет злоумышленникам иметь постоянный доступ к скомпрометированной системе.
Вредоносное ПО позволяет злоумышленникам выполнять множество команд, включая извлечение конфиденциальных данных, создание скрытых сетевых туннелей, изменение локальных файлов и выполнение команд PowerShell. После выполнения этих команд вредоносное ПО удаляет их, что усложняет анализ.
Исследователи обнаружили вредоносное ПО на компьютере, принадлежащем министерству иностранных дел в Южной Америке. Однако после анализа инфраструктуры Elastic выявила, что имеются связи с жертвами в Юго-Восточной Азии. Кампания ориентирована как на Windows, так и на устройства под управлением Linux.
Заключение
Хотя атака не была связана с известными группировками, учитывая, что целью является шпионаж, можно предположить, что она была спонсирована государством. Подробный анализ, включая механизмы обнаружения и смягчения, можно найти на сайте Elastic Security Labs.
Конец статьи
Источник: TechRadar
