Sicherheitsforscher von Elastic Security Labs haben eine innovative Malware-Familie namens FinalDraft identifiziert, die einen bisher unbekannten Tarnungsmechanismus nutzt. Die Schadsoftware missbraucht Microsoft Outlook-Entwürfe zur versteckten Command-and-Control (C2) Kommunikation und verschleiert dadurch ihre Aktivitäten effektiv im legitimen Microsoft 365-Datenverkehr.
Technische Analyse der Malware-Komponenten
Die Infektion beginnt mit dem Loader-Modul „PathLoader“, das als kompakter ausführbarer Code implementiert ist. Nach der Aktivierung injiziert PathLoader Shellcode, der die Hauptkomponente FinalDraft nachlädt. Besonders bemerkenswert ist die Nutzung der Microsoft Graph API, die der Malware Zugriff auf Outlook-Funktionen ermöglicht. Die Authentifizierung erfolgt über OAuth, wobei das erhaltene Token zur späteren Verwendung in der Windows-Registry gespeichert wird.
Innovative Kommunikationsmethoden
Der C2-Kommunikationskanal wird durch ein ausgeklügeltes System von Outlook-Entwürfen realisiert. Befehle werden in Entwürfen mit dem Präfix „r_“ hinterlegt, während Antworten in neuen Entwürfen mit „p_“ gespeichert werden. Nach der Ausführung werden diese Entwürfe automatisch gelöscht, was die forensische Analyse erheblich erschwert. Diese Methode ermöglicht es den Angreifern, Firewalls und herkömmliche Erkennungsmaßnahmen zu umgehen.
Plattformübergreifende Fähigkeiten und APT-Kampagne
Die Forscher entdeckten auch eine Linux-Variante von FinalDraft, die multiple Kommunikationsprotokolle unterstützt, darunter HTTP/HTTPS, UDP, ICMP, TCP und DNS. Besonders besorgniserregend ist die Verbindung zur APT-Kampagne REF7707, die sich gegen Regierungseinrichtungen in Südamerika und Organisationen in Südostasien richtet. Dies deutet auf einen staatlich unterstützten Akteur mit erheblichen Ressourcen hin.
Erkennungsmöglichkeiten und Schutzmaßnahmen
Parallel wurde ein weiterer Loader namens GuidLoader identifiziert, der verschlüsselte Payloads direkt im Arbeitsspeicher ausführen kann. Elastic Security Labs hat YARA-Regeln veröffentlicht, die alle Komponenten des Malware-Komplexes erkennen können. Diese Regeln sollten umgehend in bestehende Sicherheitssysteme integriert werden.
Die Entdeckung von FinalDraft markiert einen bedeutenden Entwicklungsschritt in der Evolution von Advanced Persistent Threats (APTs). Organisationen sollten ihre Microsoft 365-Umgebungen verstärkt überwachen, verdächtige OAuth-Berechtigungen überprüfen und ihre Endpoint Detection and Response (EDR) Systeme entsprechend aktualisieren. Die Implementation einer Zero-Trust-Architektur und regelmäßige Sicherheitsaudits sind weitere essenzielle Maßnahmen zur Abwehr dieser hochentwickelten Bedrohung.
