Um novo malware chamado FinalDraft tem utilizado rascunhos de email do Outlook para comunicação de comando e controle em ataques contra um ministério em um país da América do Sul.
Os ataques foram descobertos pela Elastic Security Labs e dependem de um conjunto completo de ferramentas que inclui um carregador de malware personalizado chamado PathLoader, o backdoor FinalDraft e múltiplas utilidades de pós-exploração.
O abuso do Outlook, neste caso, visa alcançar comunicações ocultas, permitindo aos atacantes realizar exfiltração de dados, proxying, injeção de processo e movimento lateral, deixando o mínimo de rastros possível.
O ataque começa com o ator de ameaça comprometendo o sistema do alvo com o PathLoader, um pequeno arquivo executável que executa shellcode, incluindo o malware FinalDraft, recuperado da infraestrutura do atacante.
O PathLoader incorpora proteções contra análise estática ao realizar hashing de API e usar criptografia de strings.
O FinalDraft é usado para exfiltração de dados e injeção de processo.
Após carregar a configuração e gerar um ID de sessão, o malware estabelece comunicação por meio da Microsoft Graph API, enviando e recebendo comandos através de rascunhos de email do Outlook.
O FinalDraft recupera um token OAuth da Microsoft usando um token de atualização embutido em sua configuração, e o armazena no Registro do Windows para acesso persistente.
Ao utilizar rascunhos do Outlook em vez de enviar emails, evita detecção e se mistura ao tráfego normal do Microsoft 365.
Comandos do atacante são escondidos em rascunhos (r_<session-id>) e as respostas são armazenadas em novos rascunhos (p_<session-id>).
Após a execução, os comandos dos rascunhos são deletados, tornando a análise forense mais difícil e a detecção mais improvável.
O FinalDraft suporta um total de 37 comandos, sendo os mais importantes:
- Exfiltração de dados (arquivos, credenciais, informações do sistema)
- Injeção de processo (executando payloads em processos legítimos como mspaint.exe)
- Ataques Pass-the-Hash (roubo de credenciais de autenticação para movimento lateral)
- Proxying de rede (criando túneis de rede ocultos)
- Operações de arquivo (copiar, deletar ou sobrescrever arquivos)
- Execução do PowerShell (sem iniciar powershell.exe)
A Elastic Security Labs também observou uma variante Linux do FinalDraft, que ainda pode usar o Outlook via REST API e Graph API, bem como HTTP/HTTPS, UDP reverso & ICMP, TCP de vinculação/reverso, e troca de C2 baseada em DNS.
Os pesquisadores apresentam a campanha de ataque, apelidada de REF7707, em um relatório separado que descreve vários erros operacionais em contraste com o conjunto avançado de intrusão utilizado, o que levou à exposição do atacante.
REF7707 é uma campanha de ciberespionagem focada em um ministério estrangeiro sul-americano, mas a análise da infraestrutura revelou ligações com vítimas do Sudeste Asiático, sugerindo uma operação mais ampla.
A investigação também descobriu outro carregador de malware anteriormente não documentado usado nos ataques, chamado GuidLoader, capaz de descriptografar e executar payloads na memória.
Análises adicionais mostraram o alvo repetido do atacante em instituições de alto valor via endpoints comprometidos em provedores de telecomunicações e infraestrutura de internet no Sudeste Asiático.
Além disso, um sistema de armazenamento voltado para o público de uma universidade do Sudeste Asiático foi usado para hospedar payloads de malware, sugerindo comprometimento prévio ou um ponto de apoio na cadeia de suprimentos.
Regras YARA para ajudar os defensores a detectar Guidloader, PathLoader e FinalDraft, estão disponíveis no final dos relatórios da Elastic [1, 2].
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...