- Sicherheitsforscher entdecken ein neues Malware namens FinalDraft
- Es enthält Befehle von einer entworfenen E -Mail
- Es kann Daten peeltrieren, PowerShell ausführen und vieles mehr
Cybersecurity -Forscher aus elastischen Sicherheitslabors haben ein neues Stück entdeckt Malware Dies missbraucht E -Mail -Nachrichten in Outlook für Daten -Exfiltration, PowerShell -Ausführung und mehr.
Die Malware ist Teil eines breiteren Toolkits, das in einer Kampagne namens Ref7707 für Regierungsorganisationen in Südamerika und Südostasien verwendet wird.
Laut den Forschern umfasst das Toolkit einige Tools: einen Lader namens Pathloader, die Malware, die als FinalDraft bezeichnet wird, und mehrere Dienstprogramme nach der Exploitation.
Beschleunigung
Der Angriff beginnt damit, dass das Opfer irgendwie dem Lader ausgesetzt ist. Während die Forscher nicht beschreiben, wie das passiert, können die üblichen Kanäle sicher angehen: Phishing, Social Engineering, gefälschte Risse für kommerzielle Software und ähnlich.
Der Lader installiert FinalDraft, wodurch ein Kommunikationskanal durch eingerichtet wird Microsoft Graph -API. Es tut dies durch Verwendung Outlook -E -Mail Entwürfe. Es wird ein OAuth -Token von Microsoft erhalten, wobei ein Refresh -Token verwendet wird, der in seine Konfiguration eingebettet ist. Es speichert es in der Windows -Registrierung, sodass Cyberkriminale den anhaltenden Zugriff auf den kompromittierten Endpunkt bestehen können.
Die Malware ermöglicht es den Angreifern, eine ganze Reihe von Befehlen auszuführen, einschließlich Exfiltrating -sensibler Daten, Erstellen von verdeckten Netzwerktunneln, manipulierenden lokalen Dateien, Ausführung von PowerShell und mehr. Nachdem diese Befehle durchgeführt wurden, löscht die Malware sie und macht die Analyse noch schwieriger.
Die Forscher fanden die Malware auf einem Computer eines Außenministeriums in Südamerika. Nach der Analyse seiner Infrastruktur hat Elastic jedoch auch Verbindungen zu Opfern in Südostasien. Die Kampagne zielt sowohl Windows- als auch Linux -Geräte ab.
Der Angriff war nicht mit bekannten Bedrohungsakteuren verbunden, daher wissen wir nicht, ob es sich um ein staatlich gefördertes Stück handelte oder nicht. Angesichts der Tatsache, dass das Ziel jedoch Spionage zu sein scheint, ist es sicher, Angriffe des Nationalstaates anzunehmen. Eingehende Analyse, einschließlich Erkennungsmechanismen, Minderungen und Yara-Regeln, finden Sie auf Dieser Link.
Sie könnten auch mögen
Source link
