Kybernetičtí experti odhalili novou kampaň zaměřenou na ministerstvo zahraničí nejmenované jihoamerické země, která využívá speciálně vytvořený malware umožňující vzdálený přístup k infikovaným zařízením.
Aktivita, která byla detekována v listopadu 2024, byla připsána hackerské skupině, kterou Elastic Security Labs sleduje pod označením REF7707. Mezi další cíle patří telekomunikační společnost a univerzita, obě se nacházejí v jihovýchodní Asii.
„Zatímco kampaň REF7707 je charakterizována dobře navrženou, vysoce schopnou a novou sadou pro průniky, autoři kampaně vykazovali špatné řízení kampaně a nekonzistentní praktiky pro vyhýbání se detekci,“ uvedli bezpečnostní experti Andrew Pease a Seth Goodwin v technické analýze.
Přesný počáteční vektor přístupu použitý při útocích zatím není jasný, ačkoli bylo zjištěno, že aplikace certutil od Microsoftu byla použita ke stažení dalších škodlivých souborů z webového serveru spojeného s ministerstvem zahraničí.
Příkazy certutil použité k získání podezřelých souborů byly provedeny prostřednictvím pluginu Remote Shell (WinrsHost.exe) Windows Remote Management z neznámého zdrojového systému na připojené síti.
„To naznačuje, že útočníci již disponovali platnými síťovými přihlašovacími údaji a používali je k laterálnímu pohybu z dříve kompromitovaného zařízení v prostředí,“ poznamenali.
Prvním souborem, který byl spuštěn, je malware nazvaný PATHLOADER, který umožňuje spuštění šifrovaného shellcode přijatého z externího serveru. Extrahovaný shellcode, nazvaný FINALDRAFT, je následně injektován do paměti nově spuštěného procesu „mspaint.exe“.
FINALDRAFT, napsaný v C++, je plnohodnotný nástroj pro vzdálenou správu, který je vybaven schopnostmi spouštět další moduly za běhu a zneužívá e-mailovou službu Outlook prostřednictvím Microsoft Graph API pro účely řízení a kontroly (C2). Stojí za zmínku, že zneužití Graph API bylo dříve detekováno v jiném backdooru nazvaném SIESTAGRAPH.
Komunikační mechanismus zahrnuje analýzu příkazů uložených ve složce konceptů poštovní schránky a zapisování výsledků provedení do nových konceptů e-mailů pro každý příkaz. FINALDRAFT registruje 37 příkazových handlerů, které jsou navrženy kolem injekce procesů,
Zdroj: The Hacker News
Zdroj: IT SECURITY NETWORK NEWS
