Tehdit avcıları, enfekte olmuş ana bilgisayarlara uzaktan erişim sağlayabilen ısmarlama kötü amaçlı yazılımlarla isimsiz bir Güney Amerika ulusunun dış bakanlığını hedefleyen yeni bir kampanyaya ışık tuttular.
Kasım 2024’te tespit edilen etkinlik, elastik güvenlik laboratuvarları tarafından bir tehdit kümesiyle ilişkilendirildi. Ref7707. Diğer hedeflerden bazıları bir telekomünikasyon varlığı ve her ikisi de Güneydoğu Asya’da bulunan bir üniversite bulunmaktadır.
Güvenlik araştırmacıları Andrew Pease ve Seth Goodwin, “REF7707 kampanyası iyi mühendislik, son derece yetenekli, yeni bir saldırı seti ile karakterize edilirken, kampanya sahipleri kötü kampanya yönetimi ve tutarsız kaçaklama uygulamaları sergiledi.” söz konusu Teknik bir analizde.
Microsoft’un sertifika uygulamasının Dışişleri Bakanlığı ile ilişkili bir web sunucusundan ek yükler indirmek için kullanıldığı gözlemlenmesine rağmen, saldırılarda kullanılan tam başlangıç erişim vektörü şu anda net değildir.
Şüpheli dosyaları almak için kullanılan sertifika komutlarının Windows Uzaktan Yönetimin Uzak Kabuk eklentisi (Winrshost.exe) bağlı bir ağdaki bilinmeyen bir kaynak sisteminden.
Araştırmacılar, “Saldırganların zaten geçerli ağ kimlik bilgilerine sahip olduklarını ve bunları daha önce uzlaşmış bir ev sahibinden yanal hareket için kullandıklarını gösteriyor.”
Yürütülecek dosyaların ilki, harici bir sunucudan alınan şifreli kabuk kodunun yürütülmesini sağlayan PathLoader adlı bir kötü amaçlı yazılımdır. Finaldraft olarak adlandırılan çıkarılan kabuk kodu, daha sonra yeni ortaya çıkan bir “mspaint.exe” işleminin belleğine enjekte edilir.
C ++ ile yazılmış, Finaldraf Anında ek modülleri yürütmek için özelliklerle donatılmış ve komut ve kontrol (C2) amaçları için Microsoft Graph API üzerinden Outlook e-posta hizmetini kötüye kullanan tam özellikli bir uzaktan yönetim aracıdır. Grafik API’sının kötüye kullanılmasının daha önce Siestagraph adlı başka bir arka kapıda tespit edildiğini belirtmek gerekir.
İletişim mekanizması, posta kutusunun taslak klasöründe depolanan komutların ayrıştırılmasını ve yürütmenin sonuçlarını her komut için yeni taslak e -postalara yazmayı gerektirir. FinalDraft, işlem enjeksiyonu, dosya manipülasyonu ve ağ proxy özellikleri etrafında tasarlanmış 37 komut işleyicilerini kaydeder.
Ayrıca, çalıntı NTLM karmalarıyla yeni süreçler başlatmak ve PowerShell komutlarını “PowerShell.exe” ikili çağırmayacak şekilde yürütmek için tasarlanmıştır. Bunun yerine, Windows (ETW) için etkinlik izlemesinden kaçınmak için birkaç API’yi yamalar ve başlatır PowerpickA meşru yardımcı program Bu, Empire Postploitation araç setinin bir parçası.
Brezilya ve Amerika Birleşik Devletleri’nden Virustotal’a yüklenen elf ikili artefaktları, benzer C2 işlevselliğine sahip bir FinalDraft varyantının varlığını gösterir. Linux sürümü, kendi adına kabuk komutlarını yürütebilir patlamak ve kendisini sistemden silin.
Araştırmacılar, “Araçların bütünlüğü ve ilgili mühendislik seviyesi, geliştiricilerin iyi organize edildiğini gösteriyor.” Dedi. Diyerek şöyle devam etti: “Operasyonun uzun süreli zaman çerçevesi ve telemetremizden kanıtlar muhtemelen casusluk odaklı bir kampanya olduğunu gösteriyor.”
