Elastic Security Labs 在对 REF7707 入侵组织的最近调查中发现了一个新的恶意软件家族,该家族利用 Microsoft Outlook 草稿通过 Microsoft Graph API 作为隐蔽通信渠道。这个被命名为 FINALDRAFT 的后利用工具包包括一个加载器、一个后门以及多个为高级网络间谍活动设计的子模块。
Elastic 团队发现了该恶意软件的 Windows 和 Linux 版本,证据表明其经过了长期开发和重大的工程努力。“工具的完整性和涉及的工程水平表明开发者组织严密,”Elastic Security Labs 指出,并补充说,“行动的长时间跨度和我们的遥测数据表明,这很可能是一场以间谍活动为导向的运动。”
FINALDRAFT 恶意软件通过 PATHLOADER 部署,PATHLOADER 是一个轻量级的 Windows PE 可执行文件(206 KB),作为第一阶段加载器。它从攻击者控制的基础设施下载 AES 加密的 shellcode,解密后在内存中执行。恶意软件通过 API 哈希、混淆和沙箱逃避技术避免静态分析。
Elastic Security Labs 强调,PATHLOADER 的嵌入式配置包括两个拼写错误的域名,模仿安全厂商:
- poster.checkponit[.]com(模仿 Check Point)
- support.fortineat[.]com(模仿 Fortinet)
这种欺骗性策略旨在逃避检测,并将恶意流量与合法的安全厂商活动混合。
FINALDRAFT 是一个用 C++ 编写的 64 位恶意软件,重点在于数据窃取和进程注入。它通过加载加密配置、生成会话 ID 并通过 Outlook 草稿与命令与控制(C2)服务器交互来运行。
“FINALDRAFT 与 C2 通信使用的会话 ID 是通过创建一个随机 GUID,然后使用 Fowler-Noll-Vo(FNV)哈希函数处理生成的,”报告解释道。
FINALDRAFT 的一个显著特点是能够利用 Outlook 的邮件草稿作为 C2 通道。恶意软件不是通过直接网络通信,而是:
- 如果尚不存在,则创建一个会话草稿邮件。
- 读取并删除由攻击者生成的命令请求草稿。
- 执行命令,如进程注入、文件操作和网络代理。
- 将响应写入草稿邮件,确保攻击者可以在不引发警报的情况下获取结果。
这种方法最大限度地减少了网络流量痕迹,使传统安全解决方案的检测难度显著增加。
FINALDRAFT 包括 37 个命令处理器,允许其执行进程注入、TCP/UDP 代理、文件操作和权限提升。值得注意的是,恶意软件的进程注入技术依赖于 VirtualAllocEx、WriteProcessMemory 和 RtlCreateUserThread API 调用。
“目标进程要么是作为命令参数提供的可执行路径,要么默认为 mspaint.exe 或 conhost.exe 作为备用,”报告指出。
除了 Windows 功能外,还发现了一个 ELF 版本的 FINALDRAFT,支持多种超出 Outlook 草稿的 C2 传输协议,包括:
- HTTP/HTTPS
- 反向 UDP
- ICMP 和绑定 TCP
- 反向 TCP 和 DNS
这表明 FINALDRAFT 具有跨平台适应性,使其成为攻击者针对 Windows 和 Linux 环境的多功能工具。
Elastic Security Labs 强烈怀疑 FINALDRAFT 是更大规模间谍活动的一部分。恶意软件的复杂设计、持久性技术和对隐蔽通信方法的依赖表明,其背后有一个资金充足且能力强大的对手。
安全研究人员敦促组织监控 Outlook API 活动,实施强大的终端检测解决方案,并阻止已知的 C2 域名,以降低风险。
消息来源:Security Online;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
暂无评论内容