来源:Elastic 安全实验室
在最近对 REF7707 入侵组织的调查中,Elastic 安全实验室发现了一个新的恶意软件家族,该家族利用微软 Outlook 的草稿功能,通过微软图形 API(Microsoft Graph API)作为隐蔽的通信渠道。这个被称为 “最终草稿(FINALDRAFT)” 的攻击后利用工具包由一个加载器、一个后门程序以及多个为高级网络间谍活动设计的子模块组成。
Elastic 团队发现了该恶意软件的 Windows 和 Linux 版本,有证据表明它经过了长期开发,并且投入了大量的工程精力。Elastic 安全实验室指出:“这些工具的完备性以及所涉及的工程水平表明,开发者组织有序。” 并补充道,“从该活动的时间跨度以及我们的监测数据来看,这很可能是一场以间谍活动为目的的行动。”
“路径加载器(PATHLOADER)” 与 “最终草稿(FINALDRAFT)” 执行流程图 | 来源:Elastic 安全实验室
“最终草稿” 恶意软件通过 “路径加载器(PATHLOADER)” 进行部署,这是一个轻量级的 Windows PE 可执行文件(206 KB),作为第一阶段加载器。它从攻击者控制的基础设施下载经过 AES 加密的外壳代码,对其进行解密,然后在内存中执行。该恶意软件通过 API 哈希、混淆和沙箱逃避技术来躲避静态分析。
Elastic 安全实验室强调了 “路径加载器” 嵌入的配置中包含两个模仿安全厂商的拼写错误域名:
1.poster.checkponit [.] com(对 Check Point 的欺骗性模仿)
2.support.fortineat [.] com(模仿 Fortinet)
这种欺骗策略旨在逃避检测,并将恶意流量与合法的安全厂商活动混在一起。
“最终草稿” 是一款用 C++ 编写的 64 位恶意软件,主要侧重于数据窃取和进程注入。它通过加载加密配置、生成会话 ID,并通过 Outlook 草稿与命令控制(C2)服务器进行交互来运行。
报告解释称:“‘最终草稿’与命令控制服务器之间通信所使用的会话 ID 是通过创建一个随机的全局唯一标识符(GUID)生成的,然后使用福勒 – 诺尔 – 沃(Fowler-Noll-Vo,FNV)哈希函数对其进行处理。”
“最终草稿” 的一个显著特点是它能够利用 Outlook 的邮件草稿作为命令控制通道。该恶意软件不进行直接的网络通信,而是:
1.如果不存在会话草稿邮件,则创建一个。
2.读取并删除攻击者生成的命令请求草稿。
3.执行命令,如进程注入、文件操作和网络代理。
4.将响应内容写为草稿邮件,确保攻击者能够在不引起警觉的情况下获取结果。
这种方法最大限度地减少了网络流量痕迹,使得传统安全解决方案更难检测到它。
“最终草稿” 包含 37 个命令处理程序,使其能够执行进程注入、TCP/UDP 代理、文件操作和权限提升等操作。值得注意的是,该恶意软件的进程注入技术依赖于 VirtualAllocEx、WriteProcessMemory 和 RtlCreateUserThread 等 API 调用。
报告指出:“目标进程要么是作为命令参数提供的可执行文件路径,要么默认使用 mspaint.exe 或 conhost.exe 作为备用选项。”
除了在 Windows 系统上的功能外,“最终草稿” 的 ELF 版本也被发现,它支持除 Outlook 草稿之外的多种命令控制传输协议,包括:
1.HTTP/HTTPS
2.反向 UDP
3.ICMP 和绑定 TCP
4.反向 TCP 和 DNS
这表明它具有跨平台适应性,使 “最终草稿” 成为攻击者针对 Windows 和 Linux 环境的多功能工具。
Elastic 安全实验室强烈怀疑 “最终草稿” 是一场更大规模间谍活动的一部分。该恶意软件复杂的设计、持久化技术以及对隐蔽通信方法的依赖,表明其背后是一个资金雄厚且能力极强的对手。
安全研究人员敦促各组织监控 Outlook API 的活动,实施强大的端点检测解决方案,并屏蔽已知的命令控制域名,以降低风险。
发表评论
您还未登录,请先登录。
登录