Исследователи компании Elastic Security Labs выявили новое семейство вредоносного программного обеспечения FinalDraft, использующее инновационный метод сокрытия командно-контрольных коммуникаций через черновики электронной почты в Microsoft Outlook. Данная техника позволяет злоумышленникам эффективно маскировать вредоносную активность под легитимный сетевой трафик Microsoft 365.
Механизм работы и компоненты вредоносного ПО
Атаки инициируются с помощью специализированного загрузчика PathLoader, который представляет собой компактный исполняемый файл. После запуска PathLoader выполняет шелл-код, ответственный за развертывание основного компонента — малвари FinalDraft. Особенность данного вредоноса заключается в использовании Microsoft Graph API для установления скрытой связи через черновики сообщений в Outlook.
Особенности коммуникации и функциональность
FinalDraft использует OAuth-аутентификацию для доступа к Microsoft Graph API, сохраняя полученный токен в реестре Windows. Команды злоумышленников передаются через черновики с префиксом «r_», а ответы сохраняются в новых черновиках с префиксом «p_». После выполнения команд черновики автоматически удаляются, что затрудняет обнаружение вредоносной активности.
Кросс-платформенные возможности и целевые атаки
Исследователи обнаружили версию FinalDraft для операционной системы Linux, которая поддерживает множество протоколов коммуникации, включая HTTP/HTTPS, UDP, ICMP, TCP и DNS. Особую обеспокоенность вызывает обнаружение связанной кибершпионской кампании REF7707, нацеленной на правительственные учреждения в Южной Америке и организации в Юго-Восточной Азии.
Дополнительные компоненты и средства защиты
В ходе исследования был также обнаружен новый загрузчик вредоносного ПО GuidLoader, способный выполнять зашифрованные полезные нагрузки непосредственно в оперативной памяти. Для противодействия данным угрозам специалисты Elastic Security Labs опубликовали набор правил YARA, позволяющих детектировать все компоненты вредоносного комплекса: GuidLoader, PathLoader и FinalDraft.
Обнаружение FinalDraft демонстрирует растущую изощренность киберпреступников в использовании легитимных сервисов для маскировки вредоносной активности. Организациям рекомендуется усилить мониторинг подозрительной активности в сервисах Microsoft 365 и внедрить предложенные правила YARA в системы безопасности.
