Nuevo malware de FinalDraft abusa del servicio de correo Outlook

Iniciado por AXCESS, Febrero 18, 2025, 02:20:22 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Febrero 18, 2025, 02:20:22 AM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un nuevo malware llamado FinalDraft ha estado utilizando borradores de correo electrónico de Outlook para la comunicación de comando y control en ataques contra un ministerio en un país sudamericano.

Los ataques fueron descubiertos por Elastic Security Labs y se basan en un conjunto completo de herramientas que incluye un cargador de malware personalizado llamado PathLoader, la puerta trasera FinalDraft y múltiples utilidades de post-explotación.

El abuso de Outlook, en este caso, tiene como objetivo lograr comunicaciones encubiertas, lo que permite a los atacantes realizar exfiltración de datos, proxying, inyección de procesos y movimiento lateral dejando el mínimo posible de rastros.

Cadena de ataque

El ataque comienza cuando el actor de la amenaza compromete el sistema del objetivo con PathLoader, un pequeño archivo ejecutable que ejecuta shellcode, incluido el malware FinalDraft, recuperado de la infraestructura del atacante.

PathLoader incorpora protecciones contra el análisis estático al realizar hash de API y usar cifrado de cadenas.

FinalDraft se utiliza para la exfiltración de datos y la inyección de procesos. Después de cargar la configuración y generar un ID de sesión, el malware establece comunicación a través de la API de Microsoft Graph, enviando y recibiendo comandos a través de borradores de correo electrónico de Outlook.

FinalDraft recupera un token OAuth de Microsoft mediante un token de actualización integrado en su configuración y lo almacena en el Registro de Windows para un acceso persistente.

Token almacenado en el Registro de Windows


Al utilizar borradores de Outlook en lugar de enviar correos electrónicos, evita la detección y se integra al tráfico normal de Microsoft 365.

Los comandos del atacante se ocultan en borradores (r_<session-id>) y las respuestas se almacenan en borradores nuevos (p_<session-id>). Después de la ejecución, los borradores de comandos se eliminan, lo que dificulta el análisis forense y hace que la detección sea más improbable.

FinalDraft admite un total de 37 comandos, de los cuales los más importantes son:

Exfiltración de datos (archivos, credenciales, información del sistema)

Inyección de procesos (ejecución de cargas útiles en procesos legítimos como mspaint.exe)

Ataques Pass-the-Hash (robo de credenciales de autenticación para movimiento lateral)

Proxy de red (creación de túneles de red encubiertos)

Operaciones de archivos (copia, eliminación o sobrescritura de archivos)

Ejecución de PowerShell (sin iniciar powershell.exe)

Elastic Security Labs también observó una variante de Linux de FinalDraft, que aún puede usar Outlook a través de la API REST y la API Graph, así como HTTP/HTTPS, UDP e ICMP inversos, TCP enlazado/inverso e intercambio C2 basado en DNS.

Descripción general operativa del borrador final


Los investigadores presentan la campaña de ataque, denominada REF7707, en un informe independiente que describe varios errores de seguridad operacional que contrastan con el conjunto avanzado de intrusiones utilizado y que llevaron a la exposición del atacante.

REF7707 es una campaña de ciberespionaje centrada en un ministerio de asuntos exteriores de América del Sur, pero el análisis de la infraestructura reveló vínculos con víctimas del sudeste asiático, lo que sugiere una operación más amplia.

La investigación también descubrió otro cargador de malware no documentado previamente utilizado en los ataques, llamado GuidLoader, capaz de descifrar y ejecutar cargas útiles en la memoria

Cronología del malware REF7077


Un análisis posterior mostró que el atacante atacó repetidamente a instituciones de alto valor a través de puntos finales comprometidos en proveedores de infraestructura de telecomunicaciones e Internet en el sudeste asiático.

Además, el sistema de almacenamiento público de una universidad del sudeste asiático se utilizó para alojar cargas útiles de malware, lo que sugiere una vulneración previa o una presencia en la cadena de suministro.

Las reglas de YARA para ayudar a los defensores a detectar Guidloader, PathLoader y FinalDraft están disponibles en la parte inferior de los informes de Elastic.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta


Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario