Нов зловреден софтуер, наречен FinalDraft, е използвал проекти на имейли в Outlook за комуникация за управление и контрол при атаки срещу министерство в южноамериканска държава.

Атаките са открити от Elastic Security Labs и разчитат на пълен набор от инструменти, който включва персонализиран зареждащ модул за зловреден софтуер, наречен PathLoader, задната врата на FinalDraft и множество помощни програми за последваща експлоатация.

Злоупотребата с Outlook в този случай има за цел постигане на скрита комуникация, което позволява на нападателите да извършват ексфилтрация на данни, проксиране, инжектиране на процеси и странично придвижване, като оставят минимални възможни следи.

Верига от атаки

Атаката започва с компрометиране на системата  от страна на заплахата с PathLoader – малък изпълним файл, който изпълнява shellcode, включително зловредния софтуер FinalDraft, извлечен от инфраструктурата на нападателя.

PathLoader включва защити срещу статичен анализ чрез извършване на API хеширане и използване на криптиране на низове.

FinalDraft се използва за ексфилтрация на данни и инжектиране на процеси. След зареждане на конфигурацията и генериране на идентификатор на сесията зловредният софтуер установява комуникация чрез Microsoft Graph API, като изпраща и получава команди чрез проекти на имейли в Outlook.

FinalDraft извлича OAuth токен от Microsoft, като използва вграден в конфигурацията му токен за обновяване, и го съхранява в регистъра на Windows за постоянен достъп.

Като използва чернови на Outlook вместо изпращане на имейли, той избягва откриване и се слива с нормалния трафик на Microsoft 365.

Командите от нападателя са скрити в чернови (r_<session-id>), а отговорите се съхраняват в нови чернови (p_<session-id>). След изпълнение черновите команди се изтриват, което затруднява криминалистичния анализ и прави откриването им  слабо невероятно.

FinalDraft поддържа общо 37 команди, като най-важните от тях са:

• Ексфилтрация на данни (файлове, пълномощия, системна информация)
• Вкарване в процес (стартиране на полезен товар в легитимни процеси като mspaint.exe)
• Атаки Pass-the-Hash (кражба на удостоверителни данни за странично движение)
• Мрежово прокси (създаване на тайни мрежови тунели)
• Операции с файлове (копиране, изтриване или презаписване на файлове)
• Изпълнение на PowerShell (без стартиране на powershell.exe)

Elastic Security Labs са наблюдавали и вариант на FinalDraft за Linux, който все още може да използва Outlook чрез REST API и Graph API, както и HTTP/HTTPS, обратен UDP и ICMP, свързване/обратен TCP и DNS-базиран обмен на C2.

Изследователите представят кампанията за атака, наречена REF7707, в отделен доклад, в който са описани няколко opsec грешки, които са в контраст с използвания набор за разширено проникване и които са довели до разкриването на нападателя.

REF7707 е кампания за кибершпионаж, насочена към южноамериканско външно министерство, но анализът на инфраструктурата разкрива връзки с жертви от Югоизточна Азия, което предполага по-широка операция.

Разследването разкри и още един недокументиран досега зареждач на злонамерен софтуер, използван при атаките, наречен GuidLoader, способен да декриптира и изпълнява полезен товар в паметта

По-нататъшният анализ показа, че нападателят многократно се е насочвал към институции с висока стойност чрез компрометирани крайни точки в доставчици на телекомуникационна и интернет инфраструктура в Югоизточна Азия.

Освен това публичната система за съхранение на данни на университет в Югоизточна Азия е била използвана за разполагане на полезен товар от злонамерен софтуер, което предполага предварителен компромат или опора във веригата за доставки.