Microsoft Outlook meta novih napada zloćudnim softverom koji omogućuju prikriveno preuzimanje kontrola

Nova Maliciozna Softverska Pojava: FinalDraft i Kampanja REF7707

U svijetu kibernetičke sigurnosti, istraživači iz Elastic Security Labs otkrili su novu vrstu zloćudnog softvera koja koristi koncept draft e-mail poruka u Outlooku za exfiltraciju podataka, izvršavanje PowerShell skripti i još mnogo toga. Ovaj malver, poznat kao FinalDraft, dio je šireg alata koji se koristi u kampanji nazvanoj REF7707, koja se fokusira na vladine organizacije u Južnoj Americi i jugoistočnoj Aziji.

Kako Funkcionira FinalDraft Malver?

Prema informacijama koje su podijelili istraživači, ovaj malver zarađuje putem loadera nazvanog PathLoader i nekoliko post-eksplatacijskih alata. Proces napada počinje kada žrtva na neki način naiđe na loader. Iako istraživači nisu detaljno opisali ovaj korak, možemo pretpostaviti da se radi o uobičajenim metodama kao što su:

• Phishing
• Socijalni inženjering
• Lažni alati zaobilaženja zaštite komercijalnog softvera

Nakon instalacije, FinalDraft uspostavlja komunikacijski kanal putem Microsoft Graph API, koristeći draft poruke u Outlooku. Osim toga, malver dobiva OAuth token od Microsofta koristeći refresh token embedded u svojoj konfiguraciji, koji se pohranjuje u Windows Registry. Ovo omogućava kibernetskim kriminalcima trajni pristup kompromitiranoj točki.

Što Malver Omogućuje Napadačima?

Ovaj malver pruža napadačima mogućnost izvršavanja različitih zlonamjernih komandi, uključujući:

• Exfiltraciju osjetljivih podataka
• Kreiranje tajnih mrežnih tunela
• Manipulaciju lokalnim datotekama
• Izvršavanje PowerShell skripti

Nakon izvršenja ovih komandi, malver briše svoje tragove, čime dodatno otežava analizu napada.

Globalni Doseg i Potencijalna Pretnja

Istraživači su otkrili ovaj malver na računalima jednog ministarstva u Južnoj Americi. Međutim, nakon analize infrastrukture, Elastic je pronašao povezanosti s žrtvama i u jugoistočnoj Aziji. Kampanja REF7707 cilja na uređaje koji koriste operativne sustave Windows i Linux. Zanimljivo je da napad nije povezan s poznatim prijetećim akterima, što ostavlja otvorena pitanja o mogućem državnom financiranju ovog napada.

Zaključak

Uz obzirom na navedene ciljeve koji uključuju špijunažu, sigurno je pretpostaviti da su napadi potpomognuti državnim institucijama. Sveobuhvatna analiza ovog zloćudnog softvera, uključujući mehanizme detekcije, smanjenja rizika i YARA pravila, dostupna je putem relevantnog linka. U današnje vrijeme, svaka organizacija trebala bi biti svjesna potencijalnih prijetnji i aktivno raditi na jačanju svoje kibernetičke sigurnosti.