{"id":7700,"date":"2025-02-16T09:51:58","date_gmt":"2025-02-16T08:51:58","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=7700"},"modified":"2025-02-16T09:51:58","modified_gmt":"2025-02-16T08:51:58","slug":"finaldraft-koristi-microsoft-outlook-za-spijunazu","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2025\/02\/16\/finaldraft-koristi-microsoft-outlook-za-spijunazu\/","title":{"rendered":"FinalDraft koristi Microsoft Outlook za \u0161pijuna\u017eu"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\"><em>FinalDraft<\/em> je sofisticirani komad softvera koji je <a href=\"https:\/\/www.elastic.co\/security-labs\/fragile-web-ref7707\" target=\"_blank\" rel=\"noopener\">privukao pa\u017enju sigurnosnih istra\u017eiva\u010da kompanije <em>Elastic Security Labs<\/em><\/a>. Radi se o <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernom softveru<\/a> koji je dio kampanje pod nazivom <em>REF7707<\/em>, dugoro\u010dne \u0161pijunske operacije koja se prote\u017ee od Ju\u017ene Amerike do jugoisto\u010dne Azije. Jedinstvene karakteristike zlonamjernog softvera i njegova povezanost sa drugim kompromitovanjima \u010dine ga predmetom interesovanja profesionalaca za <a href=\"https:\/\/sajberinfo.com\/en\/2018\/12\/23\/sajber-bezbjednost\/\" target=\"_blank\" rel=\"nofollow noopener\">sajber bezbjednost<\/a> \u0161irom sveta.<\/span><\/p>\n<div id=\"attachment_7701\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-7701\" class=\"size-full wp-image-7701\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/02\/FinalDraft-espionage-campaign.jpg\" alt=\"FinalDraft\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/02\/FinalDraft-espionage-campaign.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/02\/FinalDraft-espionage-campaign-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/02\/FinalDraft-espionage-campaign-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/02\/FinalDraft-espionage-campaign-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/02\/FinalDraft-espionage-campaign-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/02\/FinalDraft-espionage-campaign-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/02\/FinalDraft-espionage-campaign-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-7701\" class=\"wp-caption-text\"><em>FinalDraft koristi Microsoft Outlook za \u0161pijuna\u017eu; Source: Bing Image Creator<\/em><\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sajberinfo.com\/en\/2025\/02\/16\/finaldraft-koristi-microsoft-outlook-za-spijunazu\/#FINALDRAFT\">FINALDRAFT<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sajberinfo.com\/en\/2025\/02\/16\/finaldraft-koristi-microsoft-outlook-za-spijunazu\/#Funkcionisanje\">Funkcionisanje<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sajberinfo.com\/en\/2025\/02\/16\/finaldraft-koristi-microsoft-outlook-za-spijunazu\/#Linux_varijanta\">Linux varijanta<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sajberinfo.com\/en\/2025\/02\/16\/finaldraft-koristi-microsoft-outlook-za-spijunazu\/#Pathloader\">Pathloader<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/sajberinfo.com\/en\/2025\/02\/16\/finaldraft-koristi-microsoft-outlook-za-spijunazu\/#REF7707_kampanja\">REF7707 kampanja<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/sajberinfo.com\/en\/2025\/02\/16\/finaldraft-koristi-microsoft-outlook-za-spijunazu\/#Uticaj\">Uticaj<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/sajberinfo.com\/en\/2025\/02\/16\/finaldraft-koristi-microsoft-outlook-za-spijunazu\/#ZAKLJUCAK\">ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/sajberinfo.com\/en\/2025\/02\/16\/finaldraft-koristi-microsoft-outlook-za-spijunazu\/#ZASTITA\">ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"FINALDRAFT\"><\/span><strong><em>FINALDRAFT<\/em><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>FinalDraft<\/em>, napisan u <em>C++<\/em> programskom jeziku i primijenjen uz prilago\u0111eni u\u010ditava\u010d (eng. <em>loader<\/em>) po imenu <em>Pathloader<\/em>, je <em>64-bitni<\/em> alat za daljinsku administraciju (eng. <em>remote administration tool \u2013 RAT<\/em>). Alat koristi <em>Microsoft<\/em> <em>Graph<\/em> <em>API<\/em> za interakciju sa <em>Microsoft Outlook<\/em> fasciklom za nacrte (eng. <em>draft<\/em>) elektronske po\u0161te za komunikacije sa komandno kontrolnim centrom (<em>C2<\/em>), \u0161to ga \u010dini izazovnim za otkrivanje putem tradicionalnih mehanizama za pra\u0107enje elektronske po\u0161te.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Funkcionisanje\"><\/span><strong>Funkcionisanje<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Funkcionisanje <em>FinalDraft<\/em> zlonamjernog softvera uklju\u010duje prilago\u0111eni u\u010ditava\u010d, <em>Pathloader<\/em>, koji preuzima <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/20\/enkripcija-podataka-istorija-i-osnove-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0161ifrovano<\/a> komandno okru\u017eenje iz spoljne infrastrukture i de\u0161ifruje ga da bi pokrenuo zlonamjerni softver. Kada po\u010dne da radi, <em>FinalDraft<\/em> koristi <em>Microsoft<\/em> <em>Graph<\/em> <em>API<\/em> za interakciju sa <em>Microsoft Outlook<\/em> fasciklom za nacrte elektronske po\u0161te za potrebe komunikacije sa komandno kontrolnim centrom (<em>C2<\/em>). Komande se primaju preko nacrta elektronske po\u0161te koje su kreirali <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerni akteri<\/a>, dok se odgovori \u0161alju kao novi nacrti elektronske po\u0161te. Petlja komunikacije uklju\u010duje kreiranje sesije nacrta elektronske po\u0161te ako ne postoji i pisanje elektronskih poruka odgovora na komandu kao nacrta za svaku obra\u0111enu komandu.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Da bi izbjegao otkrivanje, <em>FinalDraft<\/em> koristi metode zamagljivanja kao \u0161to su <a href=\"https:\/\/sajberinfo.com\/en\/2022\/04\/10\/enkripcija-podataka-funkcionisanje-i-vrste-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0161ifrovanje<\/a> nizova i <a href=\"https:\/\/sajberinfo.com\/en\/2022\/06\/09\/enkripcija-podataka-hes-funkcija-epizoda-4\/\" target=\"_blank\" rel=\"nofollow noopener\">he\u0161iranje <\/a><em>API<\/em> funkcionalnosti. Me\u0111utim, sadr\u017eaj ovih elektronskih poruka je <em>Base64 <\/em>kodiran, ali nije \u0161ifrovan, \u0161to olak\u0161ava sigurnosnim istra\u017eiva\u010dima da analiziraju komunikaciju izme\u0111u <em>FinalDraft<\/em> zlonamjernog softvera i njegovih <em>C2<\/em> servera.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">U samom centru funkcionalnosti <em>FinalDraft<\/em> zlonamjernog softvera je <em>fontdrvhost.exe<\/em>, preimenovana verzija programa za otklanjanje gre\u0161aka <em>CDB.exe<\/em> koji ima <em>Windows<\/em> digitalni potpis. Ovu alatku, staru preko 15 godina, zlonamjerni akteri su zloupotrebili da bi izvr\u0161ili zlonamjerni k\u00f4d isporu\u010den u datotekama <em>config.ini<\/em> pod maskom pouzdanih binarnih datoteka. Sigurnosni istra\u017eiva\u010d <a href=\"https:\/\/mrd0x.com\/the-power-of-cdb-debugging-tool\/\" target=\"_blank\" rel=\"noopener\"><em>mrd0x<\/em> objavio je analizu<\/a> u kojoj je detaljno opisano kako se <em>CDB.exe<\/em> mo\u017ee koristiti za pokretanje k\u00f4da, izvr\u0161nih datoteka, pokretanje <em>DLL<\/em> datoteka, izvr\u0161avanje komandnog okru\u017eenja i ga\u0161enje bezbjednosnih rje\u0161enja. Ova upotreba <em>CDB.exe<\/em> nije nova, ali predstavlja neuobi\u010dajenu metodologiju napada koja mo\u017ee povezati aktere u razli\u010ditim kampanjama.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>FinalDraft<\/em> zlonamjerni softver ima impresivnih 37 rukovalaca komandama, omogu\u0107avaju\u0107i \u0161irok spektar zlonamjernih aktivnosti. To uklju\u010duje ubacivanje procesa, manipulaciju datotekama, vo\u0111enje evidencije, snimanje ekrana i mre\u017eni <em>proxy<\/em>. Alat tako\u0111e koristi napredne tehnike kao \u0161to je izvr\u0161avanje <em>PowerShell<\/em> komandi bez pozivanja \u201c<em>powershell.exe<\/em>\u201d i kori\u0161tenje ukradenih <em>NTLM<\/em> he\u0161ova za <a href=\"https:\/\/sajberinfo.com\/en\/2023\/11\/09\/lateral-movement\/\" target=\"_blank\" rel=\"nofollow noopener\">bo\u010dno kretanje<\/a> (eng. <em>lateral movement<\/em>) kroz mre\u017ee, \u0161to ga \u010dini sna\u017enom prijetnjom u poslovnim okru\u017eenjima.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Linux_varijanta\"><\/span><strong><em>Linux<\/em> varijanta<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Sigurnosni istra\u017eiva\u010di su otkrili i <em>Linux<\/em> varijantu <em>FinalDraft<\/em> zlonamjernog softvera, \u0161to podvla\u010di rastu\u0107u sofisticiranost i prilagodljivost zlonamjernih aktera u digitalnom prostoru. Uo\u010deno je prisustvo otpremljenih <em>ELF<\/em> binarnih datoteka na <em>VirusTotal<\/em> platformu iz Brazila i Sjedinjenih Ameri\u010dkih Dr\u017eava, \u0161to sugeri\u0161e globalni doseg ove varijante, odra\u017eavaju\u0107i otisak <em>Windows<\/em> verzije.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>Linux<\/em> varijanta dijeli sli\u010dne komandne i kontrolne (<em>C2<\/em>) funkcionalnosti sa svojim <em>Windows<\/em> kolegom, \u0161to ukazuje na koordiniran razvojni napor izme\u0111u ove dvije verzije. Jedan od najintrigantnijih aspekata ovog zlonamjernog softvera je njegova sposobnost da izvr\u0161ava komande u komandnom okru\u017eenju preko <em>popen<\/em>, ugra\u0111ene funkcije u <em>Unix<\/em> sli\u010dnim operativnim sistemima koja omogu\u0107ava pokretanje komandnih linija iz <em>C<\/em> programa. Ova mogu\u0107nost omogu\u0107ava <em>FinalDraft<\/em> zlonamjernom softveru da obavlja razli\u010dite zadatke na kompromitovanim <em>Linux<\/em> ure\u0111ajima bez izazivanja sumnje.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Pored toga, <em>Linux<\/em> verzija <em>FinalDraft<\/em> zlonamjernog softvera je projektovana sa mehanizmom da se izbri\u0161e iz sistema po zavr\u0161etku svoje misije ili kada je detektuju bezbjednosne mjere. Ova napredna strategija osigurava da zlonamjerni softver ostane neotkriven tokom du\u017eeg perioda, omogu\u0107avaju\u0107i mu da obavlja \u0161pijunske aktivnosti bez prekida.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Pathloader\"><\/span><strong><em>Pathloader<\/em><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\"><em>Pathloader<\/em> je lagana izvr\u0161na datoteka koja igra klju\u010dnu ulogu u sofisticiranoj kampanji sajber \u0161pijuna\u017ee. Ovaj zlonamjerni softver je poznat po svojoj skrivenoj prirodi i naprednim tehnikama za izbjegavanje otkrivanja. Primarna funkcija <em>Pathloader <\/em>zlonamjernog softvera je da preuzme i izvr\u0161i \u0161ifrovani zlonamjerni k\u00f4d iz infrastrukture koju kontroli\u0161e zlonamjerni akter. Preuzeti k\u00f4d se de\u0161ifruje po dolasku, nakon \u010dega se pokre\u0107e <em>FinalDraft<\/em> zlonamjerni softver i vr\u0161i prikriveno ubrizgavanje procesa.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Razvojni ciklus <em>Pathloader <\/em>zlonamjernog softvera sugeri\u0161e dobro finansiranog i organizovanog zlonamjernog aktera koji stoji iza njegovog stvaranja. Analiza otkriva vi\u0161e razli\u010ditih verzija zlonamjernog softvera, i <em>Windows<\/em> i <em>Linux<\/em> varijante, \u0161to ukazuje da je bio u aktivnom razvoju tokom du\u017eeg perioda. To bi moglo zna\u010diti da zlonamjerni akteri imaju pristup zna\u010dajnim resursima i da su posve\u0107eni usavr\u0161avanju svojih alata tokom vremena.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Konvencija imenovanja <em>Pathloader <\/em>zlonamjernog softvera je jedinstvena; koristi pseudo-nasumi\u010dno dodijeljena imena datoteka koja se sastoje od \u0161est slova u <em>CamelCase<\/em> formatu s nastavkom \u201c<em>.exe<\/em>\u201d. Ovaj metod poma\u017ee da se zlonamjerni softver stopi sa legitimnim sistemskim datotekama i \u010dini otkrivanje izazovnijim za bezbjednosne sisteme.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Jedan zna\u010dajan aspekt pona\u0161anja <em>Pathloader <\/em>zlonamjernog softvera je njegovo izvr\u0161avanje kao podre\u0111eni proces <em>Services.exe<\/em> na \u0161est <em>Windows<\/em> sistema uo\u010denih tokom istrage. Zlonamjerni akteri koriste ovu tehniku za pokretanje neidentifikovane binarne datoteke, \u0161to im mo\u017ee pomo\u0107i da zaobi\u0111u odre\u0111ene bezbjednosne mjere i dobiju po\u010detni pristup ciljanim sistemima.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>Pathloader<\/em> zlonamjerni softver tako\u0111e koristi razli\u010dite tehnike zamagljivanja kako bi sakrio svoju aktivnost i od bezbjednosnih sistema i od <a href=\"https:\/\/sajberinfo.com\/en\/2022\/02\/27\/hakeri-eticki-hakeri-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">sigurnosnih istra\u017eiva\u010da<\/a>. To uklju\u010duje <em>API<\/em> he\u0161iranje, enkripciju nizova i metode izbjegavanja izolovanih okru\u017eenja (eng. <em>sandbox<\/em>). Kori\u0161\u0107enjem ovih taktika, zlonamjerni softver mo\u017ee da radi prikrivenije unutar sistema, \u0161to ote\u017eava braniocima da otkriju i efikasno reaguju.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Jo\u0161 jedan intrigantan aspekt <em>Pathloader <\/em>zlonamjernog softvera je njegova uloga u omogu\u0107avanju \u0161pijuna\u017ee preko <em>Microsoft Outlook<\/em> fascikle za nacrte elektronske po\u0161te za tajne operacije komande i kontrole (<em>C2<\/em>). To zna\u010di da zlonamjerni softver mo\u017ee da komunicira sa svojim kontrolerima koriste\u0107i naizgled bezopasnu funkciju u <em>Microsoft Outlook <\/em>softveru, \u0161to dodatno ote\u017eava otkrivanje i ometanje njihovih aktivnosti.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"REF7707_kampanja\"><\/span><strong><em>REF7707<\/em> kampanja<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Kampanja <em>REF7707<\/em> je skup napada koji je prvi put primije\u0107en krajem novembra 2024. godine, a usmjeren je na Ministarstvo spoljnih poslova jedne ju\u017enoameri\u010dke zemlje. Ova kampanja je pokazala jedinstvenu mje\u0161avinu naprednih sposobnosti i lo\u0161eg operativnog upravljanja, o \u010demu svjedo\u010de takti\u010dki previdi koji su razotkrili pretprodukcijske uzorke, infrastrukturu i dodatne \u017ertve. Najranije identifikovani binarni zapis <em>REF7707<\/em> skupa za upad otkriven je maja 2023. godine od strane korisnika interneta sa Tajlanda. Ovaj uzorak, nazvan <em>dwn.exe<\/em>, je varijanta <em>Pathloader<\/em> zlonamjernog softvera koja u\u010ditava \u0161ifrovanu binarnu datoteku <em>FinalDraft<\/em>.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Set za upad koji koristi <em>REF7707<\/em> uklju\u010duje tri nove porodice zlonamjernog softvera: <em>FinalDraft<\/em>, <em>GuidLoader<\/em> i <em>Pathloader<\/em>. <em>Pathloader<\/em> i <em>GuidLoader<\/em> su dvije porodice zlonamjernog softvera koje <em>REF7707<\/em> koristi za preuzimanje i izvr\u0161avanje \u0161ifrovanih komandnih k\u00f4dova u memoriji. Oni su otkriveni tokom istrage <em>C2<\/em> infrastrukture i nizova identifikovanih u okviru <em>FinalDraft<\/em> memorije. I <em>Pathloader<\/em> i <em>GuidLoader<\/em> su primije\u0107eni samo u vezi sa <em>FinalDraft<\/em> <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/11\/payload\/\" target=\"_blank\" rel=\"nofollow noopener\">korisnim optere\u0107enjem<\/a> (eng. <em>payload<\/em>). U periodu izme\u0111u juna i avgusta 2023., korisnik <em>VirusTotal<\/em> platforme iz Hong Konga je postavio 12 uzoraka <em>GuidLoader <\/em>zlonamjernog softvera. Ovi uzorci su bili klju\u010dni u razumijevanju pona\u0161anja i mogu\u0107nosti ove porodice zlonamjernog softvera u okviru skupa za upad <em>REF7707<\/em>.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Jedan zna\u010dajan aspekt kampanje <em>REF7707<\/em> je njena velika upotreba usluga oblaka i usluga tre\u0107ih strana za komandu i kontrolu (<em>C2<\/em>). Ova strategija omogu\u0107ava zlonamjernim akterima da zadr\u017ee nizak profil dok zadr\u017ee kontrolu nad svojim inficiranim ciljevima. Me\u0111utim, ovaj pristup tako\u0111e otkriva potencijalne ranjivosti koje mogu da iskoriste <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/30\/hakeri-sivi-sesiri-epizoda-4\/\" target=\"_blank\" rel=\"nofollow noopener\">sigurnosni istra\u017eiva\u010di<\/a> i bezbjednosni timovi. Drugi interesantan aspekt <em>REF7707<\/em> kampanje je upotreba neuobi\u010dajene tehnike stapanja sa binarnim datotekama (eng. <em>living off the land binaries &#8211; LOLBin<\/em>) za dobijanje izvr\u0161enja krajnje ta\u010dke. Ova tehnika uklju\u010duje kori\u0161\u0107enje legitimnih sistemskih alata, kao \u0161to su <em>PowerShell<\/em> ili <em>batch<\/em> datoteke, za izvr\u0161avanje zlonamjernog k\u00f4da bez izazivanja sumnje. Koriste\u0107i ove alate, zlonamjerni akteri se mogu uklopiti sa normalnom aktivno\u0161\u0107u sistema i izbjegavati otkrivanje tokom du\u017eeg perioda.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Uprkos svojim naprednim mogu\u0107nostima, <em>REF7707<\/em> kampanja je bila poreme\u0107ena slabom operativnom bezbjedno\u0161\u0107u koja je otkrila dodatni zlonamjerni softver i infrastrukturu koji nisu kori\u0161\u0107eni u ovoj kampanji. Ovaj nadzor je pru\u017eio vrijedan uvid u taktike, tehnike i procedure (<em>TTP<\/em>) zlonamjernog aktera, omogu\u0107avaju\u0107i braniocima da se bolje pripreme za budu\u0107e napade.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Uticaj\"><\/span><strong>Uticaj<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Uticaj <em>FinalDraft<\/em> zlonamjernog softvera na kompromitovane sisteme mo\u017ee biti razoran. Jednom instaliran, alat za daljinsku administraciju (<em>RAT<\/em>) pru\u017ea zlonamjernim akterima potpunu kontrolu nad inficiranim ure\u0111ajem, omogu\u0107avaju\u0107i im da izvr\u0161avaju komande po volji i kradu osjetljive <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/16\/podaci-uvod-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">podatke<\/a>. Mogu\u0107nost alata da manipuli\u0161e datotekama i procesima omogu\u0107ava mu da instalira dodatni zlonamjerni softver ili izvr\u0161i sistemske promjene koje bi mogle ostati neprime\u0107ene tokom du\u017eeg perioda.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Pored toga, <em>FinalDraft<\/em> mogu\u0107nosti mre\u017enog <em>proxy<\/em> saobra\u0107aja omogu\u0107avaju zlonamjernim akterima da uspostave upori\u0161te unutar mre\u017ee ugro\u017eene organizacije. Ovo mo\u017ee dovesti do bo\u010dnog kretanja kroz sisteme i potencijalnih ugro\u017eavanja podataka. Upotreba ukradenih <em>NTLM<\/em> he\u0161eva dodatno olak\u0161ava ovaj proces dozvoljavaju\u0107i zlonamjernim akterima da se autentifikuju na drugim ure\u0111ajima bez potrebe za validnim akreditivima.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Mogu\u0107nost alata da izvr\u0161i <em>PowerShell<\/em> komande bez pozivanja \u201c<em>powershell.exe<\/em>\u201d je posebno zabrinjavaju\u0107a, jer omogu\u0107ava zlonamjernim akterima da zaobi\u0111u mnoga bezbjednosna rje\u0161enja koja se oslanjaju na otkrivanje izvr\u0161enja ove specifi\u010dne komande. Ovaj prikriveni pristup \u010dini <em>FinalDraft<\/em> zlonamjerni softver mo\u0107nom prijetnjom u dana\u0161njem digitalnom pejza\u017eu.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><strong>ZAKLJU\u010cAK<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Otkri\u0107e <em>FinalDraft<\/em> zlonamjernog softvera slu\u017ei kao podsjetnik da zlonamjerni akteri neprestano razvijaju svoje taktike kako bi iskoristili nove ranjivosti i zaobi\u0161li tradicionalne mjere bezbjednosti. Ovaj sofisticirani komad softvera, koji koristi <em>Microsoft Outlook<\/em> i <em>Microsoft<\/em> <em>Graph<\/em> <em>API<\/em> za komandno-kontrolnu komunikaciju, pokazuje kako zlonamjerni akteri sve vi\u0161e ciljaju legitimne usluge u oblaku za tajne operacije.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Kori\u0161\u0107enje 37 ugra\u0111enih rukovaoca komandama omogu\u0107ava <em>FinalDraft <\/em>zlonamjernom softveru \u0161irok spektar aktivnosti \u0161pijuna\u017ee, od ubacivanja procesa do mre\u017enog <em>proxy<\/em> saobra\u0107aja. Ova svestranost omogu\u0107ava zlonamjernom softveru da izvr\u0161i opse\u017enu eksfiltraciju podataka ili dalje propagira unutar ciljanih sistema sa izuzetnom prikriveno\u0161\u0107u.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Strategija primjene koja uklju\u010duje <em>Pathloader<\/em> dodaje dodatni sloj slo\u017eenosti koji jo\u0161 vi\u0161e komplikuje napore u otkrivanju. Kako sofisticiraniji zlonamjerni softver kao \u0161to je <em>FinalDraft<\/em> nastavlja da se pojavljuje, klju\u010dno je da svi daju prioritet digitalnoj bezbjednosti i informisanosti o najnovijim prijetnjama i najboljim praksama za njihovo ubla\u017eavanje.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Rastu\u0107a prijetnja sajber kriminala zahteva proaktivan pristup digitalnoj bezbjednosti. Ostaju\u0107i na oprezu, usvajanjem jakih <a href=\"https:\/\/sajberinfo.com\/en\/2019\/02\/24\/lozinka-password-sifra\/\" target=\"_blank\" rel=\"nofollow noopener\">lozinki<\/a>, a\u017euriranjem softvera i kori\u0161\u0107enjem pouzdanih bezbjednosnih rje\u0161enja, pojedinci i organizacije mogu zna\u010dajno da smanje rizik da postanu \u017ertve ovih sve sofisticiranijih napada. Dok se nastavlja kretanje kroz digitalno doba, od su\u0161tinskog je zna\u010daja informisanost o novonastalim prijetnjama i preduzimanje proaktivnih mjere za za\u0161titu od njih.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><strong>ZA\u0160TITA<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Suo\u010deni sa okru\u017eenjem sajber prijetnji koje se stalno razvija, za organizacije je klju\u010dno da oja\u010daju svoju odbranu od naprednog zlonamjernog softvera kao \u0161to je <em>FinalDraft<\/em>. U nastavku slijedi nekoliko preporuka o tome kako da za\u0161titite organizaciju od ovog opasnog protivnika:<\/span><\/p>\n<ol>\n<li><span style=\"font-size: 14pt;\">Implementirajte sisteme koji mogu da otkriju neobi\u010dne obrasce, kao \u0161to su \u010desto kreiranje i modifikacija nacrta elektronske po\u0161te, posebno kada nisu povezani sa redovnim pona\u0161anjem korisnika;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Sprovesti sna\u017ene mjere autentifikacije, kao \u0161to je autentifikacija u vi\u0161e koraka (eng. <em>multi-factor authentication \u2013 MFA<\/em>), i ograni\u010dite broj korisnika koji imaju administrativne privilegije u uslugama u oblaku kao \u0161to je <em>Microsoft<\/em> <em>365;<\/em><\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Koristiti napredne softvere za detekciju i odgovor na prijetnje (eng. <em>Endpoint detection and response \u2013 EDR<\/em>) koji mogu da identifikuju prikriveno pona\u0161anje zlonamjernog softvera, uklju\u010duju\u0107i \u0161ifrovanje nizova i tehnike <em>API<\/em> he\u0161iranja koje koristi <em>FinalDraft<\/em>;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Uvjeriti se da su svi sistemi a\u017eurirani najnovijim bezbjednosnim ispravkama kako bi se za\u0161titili od poznatih ranjivosti koje koristi <em>FinalDraft<\/em> ili sli\u010dne prijetnje;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Ograni\u010dite prava pristupa korisni\u010dkim nalozima na osnovu njihovih uloga implementiraju\u0107i princip najmanje privilegije (eng. <em>least privilege principle \u2013 LPP<\/em>), osiguravaju\u0107i da korisnici imaju samo potrebne dozvole za obavljanje svojih radnih funkcija i ni\u0161ta vi\u0161e;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Obrazovati zaposlene o rizicima <a href=\"https:\/\/sajberinfo.com\/en\/2022\/01\/02\/phishing-meta-su-ljudi-ne-tehnologija\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>phishing<\/em> napada<\/a>, taktikama dru\u0161tvenog in\u017eenjeringa i bezbjednim praksama elektronske po\u0161te kako biste umanjile \u0161anse da postanu \u017ertva <em>FinalDraft<\/em> zlonamjernog softvera ili drugih zlonamjernih prijetnji;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Podijeliti mre\u017eu na manje segmente da bi se ograni\u010dile mogu\u0107nost zlonamjernog aktera da se kre\u0107e bo\u010dno kroz mre\u017eu koriste\u0107i ukradene <em>NTLM<\/em> he\u0161ove ili druge tehnike;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Razvijati i odr\u017eavati sveobuhvatan <a href=\"https:\/\/sajberinfo.com\/en\/2020\/10\/26\/plan-odgovora-na-sajber-prijetnju\/\" target=\"_blank\" rel=\"nofollow noopener\">plan odgovora na sajber prijetnju<\/a> koji opisuje korake za otkrivanje, reagovanje i oporavak od sajber napada kao \u0161to je <em>FinalDraft<\/em>. Redovno testirati i a\u017eurirati ovaj plan na osnovu lekcija nau\u010denih iz simulacija i incidenata u stvarnom svetu;<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">U slu\u010daju da je ure\u0111aj ugro\u017een, redovno pravljenje <a href=\"https:\/\/sajberinfo.com\/en\/2020\/11\/02\/rezervna-kopija-i-cuvanje-podataka\/\" target=\"_blank\" rel=\"nofollow noopener\">rezervne kopije<\/a> osnovnih datoteka mo\u017ee pomo\u0107i u brzom oporavku bez gubitka dragocjenih informacija. Koristiti usluge skladi\u0161tenja u oblaku ili eksterne \u010dvrste diskove za bezbjedno skladi\u0161tenje rezervnih kopija.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Sara\u0111ivati sa platformama za dijeljenje obavje\u0161tajnih podataka o prijetnjama i dijeliti informacije o prijetnjama kao \u0161to je <em>FinalDraft<\/em> zlonamjerni softver sa drugim organizacijama i sigurnosnim istra\u017eiva\u010dima kako bi se pobolj\u0161ala kolektivna odbrana od ovih sofisticiranih napada.<\/span><\/li>\n<\/ol>","protected":false},"excerpt":{"rendered":"<p>FinalDraft je sofisticirani komad softvera koji je privukao pa\u017enju sigurnosnih istra\u017eiva\u010da kompanije Elastic Security Labs. Radi se o zlonamjernom softveru koji je dio kampanje pod nazivom REF7707, dugoro\u010dne \u0161pijunske operacije koja se prote\u017ee od&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":7701,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[2716,2710,2711,2258,2714,2713,2712,2718,2715,2709,2717],"class_list":["post-7700","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-file-manipulation","tag-finaldraft","tag-guidloader","tag-linux-variant","tag-microsoft-graph-api","tag-outlook-email-service-abuse","tag-pathloader","tag-powershell-command-execution","tag-process-injection","tag-remote-administration-tool","tag-windows-variant"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/7700","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=7700"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/7700\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/7701"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=7700"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=7700"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=7700"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}