{"id":1578060,"date":"2025-02-13T09:33:15","date_gmt":"2025-02-13T09:33:15","guid":{"rendered":"https:\/\/teknomers.com\/es\/explotacion-de-malware-de-finaldraft-microsoft-graph-api-para-espionaje-en-windows-y-linux\/"},"modified":"2025-02-13T09:33:20","modified_gmt":"2025-02-13T09:33:20","slug":"explotacion-de-malware-de-finaldraft-microsoft-graph-api-para-espionaje-en-windows-y-linux","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/explotacion-de-malware-de-finaldraft-microsoft-graph-api-para-espionaje-en-windows-y-linux\/","title":{"rendered":"Explotaci\u00f3n de malware de FinalDraft Microsoft Graph API para espionaje en Windows y Linux"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>13 de febrero de 2025<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Malware \/ espionaje cibern\u00e9tico<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Los cazadores de amenazas han arrojado luz sobre una nueva campa\u00f1a dirigida al Ministerio de Relaciones Exteriores de una naci\u00f3n sudamericana sin nombre con malware a medida capaz de otorgar acceso remoto a anfitriones infectados.<\/p>\n

La actividad, detectada en noviembre de 2024, ha sido atribuida por Elastic Security Labs a un cl\u00faster de amenazas que rastrea como Ref7707<\/strong>. Algunos de los otros objetivos incluyen una entidad de telecomunicaciones y una universidad, ambos ubicados en el sudeste asi\u00e1tico.<\/p>\n

“Si bien la campa\u00f1a Ref7707 se caracteriza por un juego de intrusiones novedoso bien dise\u00f1ado, altamente capaz y altamente capaz, los propietarios de la campa\u00f1a exhibieron una mala gesti\u00f3n de campa\u00f1as y pr\u00e1cticas de evasi\u00f3n inconsistentes”, los investigadores de seguridad Andrew Pease y Seth Goodwin dicho<\/a> en un an\u00e1lisis t\u00e9cnico.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

El vector de acceso inicial exacto utilizado en los ataques no est\u00e1 claro actualmente, aunque se ha observado que la aplicaci\u00f3n Certutil de Microsoft se usa para descargar cargas \u00fatiles adicionales de un servidor web asociado con el Ministerio de Relaciones Exteriores.<\/p>\n

Se ha encontrado que los comandos CertUtil utilizados para recuperar los archivos sospechosos se ejecutan a trav\u00e9s del complemento de shell remoto de Windows Remote Management (Winrshost.exe<\/a>) de un sistema fuente desconocido en una red conectada.<\/p>\n

“Indica que los atacantes ya pose\u00edan credenciales de red v\u00e1lidas y las usaban para el movimiento lateral de un hu\u00e9sped previamente comprometido en el entorno”, se\u00f1alaron los investigadores.<\/p>\n

El primero de los archivos que se ejecutar\u00e1 es un malware llamado Pathloader que permite la ejecuci\u00f3n de ShellCode cifrado recibido de un servidor externo. El c\u00f3digo de carcasa extra\u00eddo, denominado FinalDraft, se inyecta posteriormente en la memoria de un proceso “msPaint.exe” recientemente designado.<\/p>\n

\"\"<\/a><\/div>\n

Escrito en C ++, Trampa final<\/a> es una herramienta de administraci\u00f3n remota completa que viene equipada con capacidades para ejecutar m\u00f3dulos adicionales sobre la marcha y abusa del servicio de correo electr\u00f3nico de Outlook a trav\u00e9s de la API de Microsoft Graph para fines de comando y control (C2). Vale la pena se\u00f1alar que el abuso de la API del gr\u00e1fico se ha detectado previamente en otra puerta trasera llamada Siestagraph.<\/p>\n

El mecanismo de comunicaci\u00f3n implica analizar los comandos almacenados en la carpeta de borradores del buz\u00f3n y escribir los resultados de la ejecuci\u00f3n en nuevos correos electr\u00f3nicos de borrador para cada comando. FinalDraft registra 37 manejadores de comando que est\u00e1n dise\u00f1ados en torno a la inyecci\u00f3n del proceso, la manipulaci\u00f3n de archivos y las capacidades de proxy de red.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Tambi\u00e9n est\u00e1 dise\u00f1ado para iniciar nuevos procesos con hashes robados y ejecutar los comandos de PowerShell de manera tal que no invoca el binario “PowerShell.exe”. En su lugar, parche varias API para evadir el rastreo de eventos para Windows (ETW) y se lanza Cementerio<\/a>a utilidad leg\u00edtima<\/a> Eso es parte del Kit de herramientas de explotaci\u00f3n del Imperio.<\/p>\n

Los artefactos binarios ELF cargados a Virustotal desde Brasil y los Estados Unidos indican la presencia de una variante de Linux de la trampa final que presenta una funcionalidad C2 similar. La versi\u00f3n de Linux, por su parte, puede ejecutar comandos de shell a trav\u00e9s de estocada<\/a> y eliminarse del sistema.<\/p>\n

“La integridad de las herramientas y el nivel de ingenier\u00eda involucrado sugieren que los desarrolladores est\u00e1n bien organizados”, dijeron los investigadores. “El marco de tiempo extendido de la operaci\u00f3n y la evidencia de nuestra telemetr\u00eda sugieren que probablemente sea una campa\u00f1a orientada al espionaje”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n