Фахівці з кібербезпеки компанії Elastic Security Labs виявили нове сімейство шкідливого програмного забезпечення під назвою FinalDraft, яке використовує унікальний метод приховування командно-контрольних комунікацій через чернетки електронних листів у Microsoft Outlook. Цей інноваційний підхід дозволяє зловмисникам ефективно маскувати шкідливу активність під легітимний мережевий трафік платформи Microsoft 365.
Технічний аналіз механізму зараження
Процес зараження починається з розгортання спеціалізованого завантажувача PathLoader – компактного виконуваного файлу, який ініціює запуск шкідливого коду. Після активації PathLoader виконує шелл-код, що відповідає за встановлення основного компонента FinalDraft, який використовує Microsoft Graph API для створення прихованого каналу зв’язку через чернетки повідомлень.
Особливості комунікаційного протоколу
FinalDraft реалізує складний механізм автентифікації через OAuth для доступу до Microsoft Graph API, зберігаючи отримані токени в реєстрі Windows. Система використовує унікальну схему маркування повідомлень: команди зловмисників передаються через чернетки з префіксом “r_”, а відповіді зберігаються в нових чернетках з префіксом “p_”. Для уникнення виявлення всі чернетки автоматично видаляються після виконання команд.
Мультиплатформні можливості та цільові атаки
Дослідники виявили версію FinalDraft для Linux із розширеними комунікаційними можливостями, включаючи підтримку протоколів HTTP/HTTPS, UDP, ICMP, TCP та DNS. Особливу стурбованість викликає виявлена кібершпигунська кампанія REF7707, спрямована на урядові установи Південної Америки та організації Південно-Східної Азії.
Інструменти виявлення та протидії
У ході дослідження було також виявлено новий завантажувач GuidLoader, здатний виконувати зашифровані корисні навантаження безпосередньо в оперативній пам’яті. Для протидії цим загрозам експерти Elastic Security Labs розробили набір правил YARA, що дозволяють виявляти всі компоненти шкідливого комплексу.
Виявлення FinalDraft демонструє зростаючу витонченість методів кіберзлочинців у використанні легітимних сервісів для приховування шкідливої активності. Організаціям рекомендується посилити моніторинг підозрілої активності в сервісах Microsoft 365, впровадити запропоновані правила YARA та регулярно оновлювати системи безпеки. Особливу увагу слід приділити контролю доступу до API та моніторингу активності поштових скриньок на предмет незвичної поведінки з чернетками.
