FinalDraft koristi Microsoft Outlook za špijunažu

AUTOR ·

FinalDraft je sofisticirani komad softvera koji je privukao pažnju sigurnosnih istraživača kompanije Elastic Security Labs. Radi se o zlonamjernom softveru koji je dio kampanje pod nazivom REF7707, dugoročne špijunske operacije koja se proteže od Južne Amerike do jugoistočne Azije. Jedinstvene karakteristike zlonamjernog softvera i njegova povezanost sa drugim kompromitovanjima čine ga predmetom interesovanja profesionalaca za sajber bezbjednost širom sveta.

FinalDraft

FinalDraft koristi Microsoft Outlook za špijunažu; Source: Bing Image Creator

FINALDRAFT

FinalDraft, napisan u C++ programskom jeziku i primijenjen uz prilagođeni učitavač (eng. loader) po imenu Pathloader, je 64-bitni alat za daljinsku administraciju (eng. remote administration tool – RAT). Alat koristi Microsoft Graph API za interakciju sa Microsoft Outlook fasciklom za nacrte (eng. draft) elektronske pošte za komunikacije sa komandno kontrolnim centrom (C2), što ga čini izazovnim za otkrivanje putem tradicionalnih mehanizama za praćenje elektronske pošte.

 

Funkcionisanje

Funkcionisanje FinalDraft zlonamjernog softvera uključuje prilagođeni učitavač, Pathloader, koji preuzima šifrovano komandno okruženje iz spoljne infrastrukture i dešifruje ga da bi pokrenuo zlonamjerni softver. Kada počne da radi, FinalDraft koristi Microsoft Graph API za interakciju sa Microsoft Outlook fasciklom za nacrte elektronske pošte za potrebe komunikacije sa komandno kontrolnim centrom (C2). Komande se primaju preko nacrta elektronske pošte koje su kreirali zlonamjerni akteri, dok se odgovori šalju kao novi nacrti elektronske pošte. Petlja komunikacije uključuje kreiranje sesije nacrta elektronske pošte ako ne postoji i pisanje elektronskih poruka odgovora na komandu kao nacrta za svaku obrađenu komandu.

Da bi izbjegao otkrivanje, FinalDraft koristi metode zamagljivanja kao što su šifrovanje nizova i heširanje API funkcionalnosti. Međutim, sadržaj ovih elektronskih poruka je Base64 kodiran, ali nije šifrovan, što olakšava sigurnosnim istraživačima da analiziraju komunikaciju između FinalDraft zlonamjernog softvera i njegovih C2 servera.

U samom centru funkcionalnosti FinalDraft zlonamjernog softvera je fontdrvhost.exe, preimenovana verzija programa za otklanjanje grešaka CDB.exe koji ima Windows digitalni potpis. Ovu alatku, staru preko 15 godina, zlonamjerni akteri su zloupotrebili da bi izvršili zlonamjerni kôd isporučen u datotekama config.ini pod maskom pouzdanih binarnih datoteka. Sigurnosni istraživač mrd0x objavio je analizu u kojoj je detaljno opisano kako se CDB.exe može koristiti za pokretanje kôda, izvršnih datoteka, pokretanje DLL datoteka, izvršavanje komandnog okruženja i gašenje bezbjednosnih rješenja. Ova upotreba CDB.exe nije nova, ali predstavlja neuobičajenu metodologiju napada koja može povezati aktere u različitim kampanjama.

FinalDraft zlonamjerni softver ima impresivnih 37 rukovalaca komandama, omogućavajući širok spektar zlonamjernih aktivnosti. To uključuje ubacivanje procesa, manipulaciju datotekama, vođenje evidencije, snimanje ekrana i mrežni proxy. Alat takođe koristi napredne tehnike kao što je izvršavanje PowerShell komandi bez pozivanja “powershell.exe” i korištenje ukradenih NTLM hešova za bočno kretanje (eng. lateral movement) kroz mreže, što ga čini snažnom prijetnjom u poslovnim okruženjima.

 

Linux varijanta

Sigurnosni istraživači su otkrili i Linux varijantu FinalDraft zlonamjernog softvera, što podvlači rastuću sofisticiranost i prilagodljivost zlonamjernih aktera u digitalnom prostoru. Uočeno je prisustvo otpremljenih ELF binarnih datoteka na VirusTotal platformu iz Brazila i Sjedinjenih Američkih Država, što sugeriše globalni doseg ove varijante, odražavajući otisak Windows verzije.

Linux varijanta dijeli slične komandne i kontrolne (C2) funkcionalnosti sa svojim Windows kolegom, što ukazuje na koordiniran razvojni napor između ove dvije verzije. Jedan od najintrigantnijih aspekata ovog zlonamjernog softvera je njegova sposobnost da izvršava komande u komandnom okruženju preko popen, ugrađene funkcije u Unix sličnim operativnim sistemima koja omogućava pokretanje komandnih linija iz C programa. Ova mogućnost omogućava FinalDraft zlonamjernom softveru da obavlja različite zadatke na kompromitovanim Linux uređajima bez izazivanja sumnje.

Pored toga, Linux verzija FinalDraft zlonamjernog softvera je projektovana sa mehanizmom da se izbriše iz sistema po završetku svoje misije ili kada je detektuju bezbjednosne mjere. Ova napredna strategija osigurava da zlonamjerni softver ostane neotkriven tokom dužeg perioda, omogućavajući mu da obavlja špijunske aktivnosti bez prekida.

 

Pathloader

Pathloader je lagana izvršna datoteka koja igra ključnu ulogu u sofisticiranoj kampanji sajber špijunaže. Ovaj zlonamjerni softver je poznat po svojoj skrivenoj prirodi i naprednim tehnikama za izbjegavanje otkrivanja. Primarna funkcija Pathloader zlonamjernog softvera je da preuzme i izvrši šifrovani zlonamjerni kôd iz infrastrukture koju kontroliše zlonamjerni akter. Preuzeti kôd se dešifruje po dolasku, nakon čega se pokreće FinalDraft zlonamjerni softver i vrši prikriveno ubrizgavanje procesa.

Razvojni ciklus Pathloader zlonamjernog softvera sugeriše dobro finansiranog i organizovanog zlonamjernog aktera koji stoji iza njegovog stvaranja. Analiza otkriva više različitih verzija zlonamjernog softvera, i Windows i Linux varijante, što ukazuje da je bio u aktivnom razvoju tokom dužeg perioda. To bi moglo značiti da zlonamjerni akteri imaju pristup značajnim resursima i da su posvećeni usavršavanju svojih alata tokom vremena.

Konvencija imenovanja Pathloader zlonamjernog softvera je jedinstvena; koristi pseudo-nasumično dodijeljena imena datoteka koja se sastoje od šest slova u CamelCase formatu s nastavkom “.exe”. Ovaj metod pomaže da se zlonamjerni softver stopi sa legitimnim sistemskim datotekama i čini otkrivanje izazovnijim za bezbjednosne sisteme.

Jedan značajan aspekt ponašanja Pathloader zlonamjernog softvera je njegovo izvršavanje kao podređeni proces Services.exe na šest Windows sistema uočenih tokom istrage. Zlonamjerni akteri koriste ovu tehniku za pokretanje neidentifikovane binarne datoteke, što im može pomoći da zaobiđu određene bezbjednosne mjere i dobiju početni pristup ciljanim sistemima.

Pathloader zlonamjerni softver takođe koristi različite tehnike zamagljivanja kako bi sakrio svoju aktivnost i od bezbjednosnih sistema i od sigurnosnih istraživača. To uključuje API heširanje, enkripciju nizova i metode izbjegavanja izolovanih okruženja (eng. sandbox). Korišćenjem ovih taktika, zlonamjerni softver može da radi prikrivenije unutar sistema, što otežava braniocima da otkriju i efikasno reaguju.

Još jedan intrigantan aspekt Pathloader zlonamjernog softvera je njegova uloga u omogućavanju špijunaže preko Microsoft Outlook fascikle za nacrte elektronske pošte za tajne operacije komande i kontrole (C2). To znači da zlonamjerni softver može da komunicira sa svojim kontrolerima koristeći naizgled bezopasnu funkciju u Microsoft Outlook softveru, što dodatno otežava otkrivanje i ometanje njihovih aktivnosti.

 

REF7707 kampanja

Kampanja REF7707 je skup napada koji je prvi put primijećen krajem novembra 2024. godine, a usmjeren je na Ministarstvo spoljnih poslova jedne južnoameričke zemlje. Ova kampanja je pokazala jedinstvenu mješavinu naprednih sposobnosti i lošeg operativnog upravljanja, o čemu svjedoče taktički previdi koji su razotkrili pretprodukcijske uzorke, infrastrukturu i dodatne žrtve. Najranije identifikovani binarni zapis REF7707 skupa za upad otkriven je maja 2023. godine od strane korisnika interneta sa Tajlanda. Ovaj uzorak, nazvan dwn.exe, je varijanta Pathloader zlonamjernog softvera koja učitava šifrovanu binarnu datoteku FinalDraft.

Set za upad koji koristi REF7707 uključuje tri nove porodice zlonamjernog softvera: FinalDraft, GuidLoader i Pathloader. Pathloader i GuidLoader su dvije porodice zlonamjernog softvera koje REF7707 koristi za preuzimanje i izvršavanje šifrovanih komandnih kôdova u memoriji. Oni su otkriveni tokom istrage C2 infrastrukture i nizova identifikovanih u okviru FinalDraft memorije. I Pathloader i GuidLoader su primijećeni samo u vezi sa FinalDraft korisnim opterećenjem (eng. payload). U periodu između juna i avgusta 2023., korisnik VirusTotal platforme iz Hong Konga je postavio 12 uzoraka GuidLoader zlonamjernog softvera. Ovi uzorci su bili ključni u razumijevanju ponašanja i mogućnosti ove porodice zlonamjernog softvera u okviru skupa za upad REF7707.

Jedan značajan aspekt kampanje REF7707 je njena velika upotreba usluga oblaka i usluga trećih strana za komandu i kontrolu (C2). Ova strategija omogućava zlonamjernim akterima da zadrže nizak profil dok zadrže kontrolu nad svojim inficiranim ciljevima. Međutim, ovaj pristup takođe otkriva potencijalne ranjivosti koje mogu da iskoriste sigurnosni istraživači i bezbjednosni timovi. Drugi interesantan aspekt REF7707 kampanje je upotreba neuobičajene tehnike stapanja sa binarnim datotekama (eng. living off the land binaries – LOLBin) za dobijanje izvršenja krajnje tačke. Ova tehnika uključuje korišćenje legitimnih sistemskih alata, kao što su PowerShell ili batch datoteke, za izvršavanje zlonamjernog kôda bez izazivanja sumnje. Koristeći ove alate, zlonamjerni akteri se mogu uklopiti sa normalnom aktivnošću sistema i izbjegavati otkrivanje tokom dužeg perioda.

Uprkos svojim naprednim mogućnostima, REF7707 kampanja je bila poremećena slabom operativnom bezbjednošću koja je otkrila dodatni zlonamjerni softver i infrastrukturu koji nisu korišćeni u ovoj kampanji. Ovaj nadzor je pružio vrijedan uvid u taktike, tehnike i procedure (TTP) zlonamjernog aktera, omogućavajući braniocima da se bolje pripreme za buduće napade.

 

Uticaj

Uticaj FinalDraft zlonamjernog softvera na kompromitovane sisteme može biti razoran. Jednom instaliran, alat za daljinsku administraciju (RAT) pruža zlonamjernim akterima potpunu kontrolu nad inficiranim uređajem, omogućavajući im da izvršavaju komande po volji i kradu osjetljive podatke. Mogućnost alata da manipuliše datotekama i procesima omogućava mu da instalira dodatni zlonamjerni softver ili izvrši sistemske promjene koje bi mogle ostati neprimećene tokom dužeg perioda.

Pored toga, FinalDraft mogućnosti mrežnog proxy saobraćaja omogućavaju zlonamjernim akterima da uspostave uporište unutar mreže ugrožene organizacije. Ovo može dovesti do bočnog kretanja kroz sisteme i potencijalnih ugrožavanja podataka. Upotreba ukradenih NTLM heševa dodatno olakšava ovaj proces dozvoljavajući zlonamjernim akterima da se autentifikuju na drugim uređajima bez potrebe za validnim akreditivima.

Mogućnost alata da izvrši PowerShell komande bez pozivanja “powershell.exe” je posebno zabrinjavajuća, jer omogućava zlonamjernim akterima da zaobiđu mnoga bezbjednosna rješenja koja se oslanjaju na otkrivanje izvršenja ove specifične komande. Ovaj prikriveni pristup čini FinalDraft zlonamjerni softver moćnom prijetnjom u današnjem digitalnom pejzažu.

 

ZAKLJUČAK

Otkriće FinalDraft zlonamjernog softvera služi kao podsjetnik da zlonamjerni akteri neprestano razvijaju svoje taktike kako bi iskoristili nove ranjivosti i zaobišli tradicionalne mjere bezbjednosti. Ovaj sofisticirani komad softvera, koji koristi Microsoft Outlook i Microsoft Graph API za komandno-kontrolnu komunikaciju, pokazuje kako zlonamjerni akteri sve više ciljaju legitimne usluge u oblaku za tajne operacije.

Korišćenje 37 ugrađenih rukovaoca komandama omogućava FinalDraft zlonamjernom softveru širok spektar aktivnosti špijunaže, od ubacivanja procesa do mrežnog proxy saobraćaja. Ova svestranost omogućava zlonamjernom softveru da izvrši opsežnu eksfiltraciju podataka ili dalje propagira unutar ciljanih sistema sa izuzetnom prikrivenošću.

Strategija primjene koja uključuje Pathloader dodaje dodatni sloj složenosti koji još više komplikuje napore u otkrivanju. Kako sofisticiraniji zlonamjerni softver kao što je FinalDraft nastavlja da se pojavljuje, ključno je da svi daju prioritet digitalnoj bezbjednosti i informisanosti o najnovijim prijetnjama i najboljim praksama za njihovo ublažavanje.

Rastuća prijetnja sajber kriminala zahteva proaktivan pristup digitalnoj bezbjednosti. Ostajući na oprezu, usvajanjem jakih lozinki, ažuriranjem softvera i korišćenjem pouzdanih bezbjednosnih rješenja, pojedinci i organizacije mogu značajno da smanje rizik da postanu žrtve ovih sve sofisticiranijih napada. Dok se nastavlja kretanje kroz digitalno doba, od suštinskog je značaja informisanost o novonastalim prijetnjama i preduzimanje proaktivnih mjere za zaštitu od njih.

 

ZAŠTITA

Suočeni sa okruženjem sajber prijetnji koje se stalno razvija, za organizacije je ključno da ojačaju svoju odbranu od naprednog zlonamjernog softvera kao što je FinalDraft. U nastavku slijedi nekoliko preporuka o tome kako da zaštitite organizaciju od ovog opasnog protivnika:

  1. Implementirajte sisteme koji mogu da otkriju neobične obrasce, kao što su često kreiranje i modifikacija nacrta elektronske pošte, posebno kada nisu povezani sa redovnim ponašanjem korisnika;
  2. Sprovesti snažne mjere autentifikacije, kao što je autentifikacija u više koraka (eng. multi-factor authentication – MFA), i ograničite broj korisnika koji imaju administrativne privilegije u uslugama u oblaku kao što je Microsoft 365;
  3. Koristiti napredne softvere za detekciju i odgovor na prijetnje (eng. Endpoint detection and response – EDR) koji mogu da identifikuju prikriveno ponašanje zlonamjernog softvera, uključujući šifrovanje nizova i tehnike API heširanja koje koristi FinalDraft;
  4. Uvjeriti se da su svi sistemi ažurirani najnovijim bezbjednosnim ispravkama kako bi se zaštitili od poznatih ranjivosti koje koristi FinalDraft ili slične prijetnje;
  5. Ograničite prava pristupa korisničkim nalozima na osnovu njihovih uloga implementirajući princip najmanje privilegije (eng. least privilege principle – LPP), osiguravajući da korisnici imaju samo potrebne dozvole za obavljanje svojih radnih funkcija i ništa više;
  6. Obrazovati zaposlene o rizicima phishing napada, taktikama društvenog inženjeringa i bezbjednim praksama elektronske pošte kako biste umanjile šanse da postanu žrtva FinalDraft zlonamjernog softvera ili drugih zlonamjernih prijetnji;
  7. Podijeliti mrežu na manje segmente da bi se ograničile mogućnost zlonamjernog aktera da se kreće bočno kroz mrežu koristeći ukradene NTLM hešove ili druge tehnike;
  8. Razvijati i održavati sveobuhvatan plan odgovora na sajber prijetnju koji opisuje korake za otkrivanje, reagovanje i oporavak od sajber napada kao što je FinalDraft. Redovno testirati i ažurirati ovaj plan na osnovu lekcija naučenih iz simulacija i incidenata u stvarnom svetu;
  9. U slučaju da je uređaj ugrožen, redovno pravljenje rezervne kopije osnovnih datoteka može pomoći u brzom oporavku bez gubitka dragocjenih informacija. Koristiti usluge skladištenja u oblaku ili eksterne čvrste diskove za bezbjedno skladištenje rezervnih kopija.
  10. Sarađivati sa platformama za dijeljenje obavještajnih podataka o prijetnjama i dijeliti informacije o prijetnjama kao što je FinalDraft zlonamjerni softver sa drugim organizacijama i sigurnosnim istraživačima kako bi se poboljšala kolektivna odbrana od ovih sofisticiranih napada.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.