Caçadores de ameaças revelaram detalhes de uma nova campanha visando o ministério das relações exteriores de uma nação sul-americana não nomeada com malware personalizado, capaz de conceder acesso remoto a hosts infectados.
A atividade, detectada em novembro de 2024, foi atribuída pela Elastic Security Labs a um cluster de ameaças que ela monitora sob o rótulo REF7707.
Alguns dos outros alvos incluem uma entidade de telecomunicações e uma universidade, ambas localizadas no Sudeste Asiático.
"Embora a campanha REF7707 seja caracterizada por um conjunto de intrusões novas, bem elaboradas e altamente capazes, os proprietários da campanha exibiram uma gestão de campanha deficiente e práticas de evasão inconsistentes", disseram os pesquisadores de segurança Andrew Pease e Seth Goodwin em uma análise técnica.
O vetor inicial de acesso exato utilizado nos ataques não está claro no momento, embora tenha sido observado que a aplicação certutil da Microsoft é usada para baixar payloads adicionais de um servidor web associado ao Ministério das Relações Exteriores.
Os comandos certutil usados para recuperar os arquivos suspeitos foram encontrados sendo executados via o plugin do Windows Remote Management's Remote Shell (WinrsHost.exe) de um sistema fonte desconhecido em uma rede conectada.
"Isso indica que os atacantes já possuíam credenciais de rede válidas e as estavam usando para movimento lateral a partir de um host previamente comprometido no ambiente", observaram os pesquisadores.
O primeiro dos arquivos a ser executado é um malware chamado PATHLOADER que permite a execução de shellcode criptografado recebido de um servidor externo.
O shellcode extraído, apelidado de FINALDRAFT, é subsequentemente injetado na memória de um processo "mspaint.exe" recém-criado.
Escrito em C++, o FINALDRAFT é uma ferramenta de administração remota com recursos completos que vem equipada com capacidades para executar módulos adicionais sob demanda e abusa do serviço de email Outlook via a Microsoft Graph API para propósitos de command-and-control (C2).
Vale ressaltar que o abuso da Graph API já foi detectado em outro backdoor denominado SIESTAGRAPH.
O mecanismo de comunicação envolve a análise dos comandos armazenados na pasta de rascunhos da caixa de correio e a escrita dos resultados da execução em novos emails de rascunho para cada comando.
O FINALDRAFT registra 37 manipuladores de comando que são projetados em torno de injeção de processos, manipulação de arquivos e capacidades de proxy de rede.
Também é projetado para iniciar novos processos com hashes NTLM roubados e executar comandos PowerShell de maneira que não invoque o binário "powershell.exe".
Em vez disso, ele corrige várias APIs para evitar o event tracing for Windows (ETW) e lança o PowerPick, uma utilidade legítima que faz parte do toolkit de pós-exploração Empire.
Artfatos binários ELF enviados para o VirusTotal do Brasil e dos Estados Unidos indicam a presença de uma variante Linux do FINALDRAFT que apresenta funcionalidades C2 similares.
A versão Linux, por sua vez, pode executar comandos shell via popen e se deletar do sistema.
"A completude das ferramentas e o nível de engenharia envolvido sugerem que os desenvolvedores são bem organizados", disseram os pesquisadores.
O extenso período da operação e as evidências de nossa telemetria sugerem que é provavelmente uma campanha orientada para espionagem.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...