Elastic Security Labs heeft tijdens een recent onderzoek (REF7707) een nieuwe vorm van malware ontdekt die gebruikmaakt van Microsofts Graph API voor data-exfiltratie en procesinjectie.
De malware, FINALDRAFT genaamd, lijkt onderdeel te zijn van een spionagecampagne die gelinkt wordt aan China. Het bevat een op maat gemaakte loader en backdoor met uitgebreide functionaliteiten, waaronder command-and-control (C2)-communicatie via Outlook.
Dreigingsonderzoekers hebben vastgesteld dat deze malwarecampagne gericht is op het ministerie van Buitenlandse Zaken van een niet nader genoemd Zuid-Amerikaans land. Daarnaast zijn ook een telecommunicatiebedrijf en een universiteit in Zuidoost-Azië getroffen. De aanvallen, die in november 2024 zijn ontdekt, worden toegeschreven aan de dreigingsgroep REF7707.
Hoewel de malware zeer geavanceerd is, vertoonden de aanvallers inconsistenties in hun ontwijkingstechnieken en campagnebeheer. Dit wijst mogelijk op een minder ervaren, maar goed georganiseerde groep aanvallers.
Aanvalstechnieken en infectieproces
Het initiële aanvalspunt is nog onbekend, maar onderzoekers hebben vastgesteld dat de certutil-toepassing van Microsoft wordt gebruikt om schadelijke bestanden te downloaden. Deze opdrachten worden uitgevoerd via de Remote Shell-plugin van Windows Remote Management (WinrsHost.exe). Dit wijst erop dat de aanvallers al over geldige netwerkreferenties beschikten en dat ze zich lateraal binnen de infrastructuur konden bewegen.
Een belangrijk onderdeel van de aanval is de inzet van PATHLOADER, een initiële malware die versleutelde shellcode uitvoert. De uiteindelijke payload, FINALDRAFT, wordt vervolgens geïnjecteerd in het geheugen van een nieuw gestart mspaint.exe-proces, waardoor detectie wordt bemoeilijkt. Dit blijkt uit een analyse van The Hacker News.
Misbruik van Microsoft Graph API
FINALDRAFT is geschreven in C++ en functioneert als een volwaardige externe beheerstool. De malware leest opdrachten uit de concepten-map van een gecompromitteerd e-mailaccount en schrijft de uitvoeringsresultaten in nieuwe concept-e-mails. Dit communicatiemechanisme maakt detectie en blokkering door traditionele beveiligingsoplossingen lastig.
Met 37 ingebouwde commandohandlers biedt FINALDRAFT diverse mogelijkheden, waaronder procesinjectie, bestandsmanipulatie en netwerkproxy-functionaliteiten. Bovendien kan de malware nieuwe processen starten met gestolen NTLM-hashes en PowerShell-opdrachten uitvoeren zonder powershell.exe direct aan te roepen, waardoor detectie via Event Tracing for Windows (ETW) wordt omzeild. Hiervoor worden verschillende API-manipulatietechnieken toegepast, waaronder het gebruik van PowerPick uit de Empire post-exploitation toolkit.
Linux-variant
Naast de Windows-variant is er ook een Linux-versie van FINALDRAFT ontdekt. Geüploade ELF-binaire bestanden op VirusTotal vanuit Brazilië en de Verenigde Staten suggereren dat deze variant gelijkaardige C2-functionaliteiten heeft. Daarnaast bevat deze versie een mechanisme om zichzelf van het systeem te verwijderen, wat duidt op een geavanceerde persistentiestrategie.
De complexiteit en het lange ontwikkeltraject van FINALDRAFT wijzen erop dat deze tools waarschijnlijk al langere tijd in gebruik zijn. Elastic Security Labs concludeert dat deze malwarecampagne een goed georganiseerde en langdurige spionageoperatie vertegenwoordigt.
Lees ook: Verouderde WordPress-versies en -plugins misbruikt voor grootschalige malware-aanval