FinalDraftと呼ばれる新しいマルウェアが、南米諸国の省庁に対する攻撃で、コマンド&コントロール通信にOutlookの電子メールドラフトを使用していた。
この攻撃はElastic Security Labsによって発見されたもので、PathLoaderというカスタムマルウェアローダー、FinalDraftバックドア、複数のポストエクスプロイトユーティリティを含む完全なツールセットに依存しています。
この場合、Outlookの悪用は、攻撃者が可能な限り痕跡を残さず、データ流出、プロキシ、プロセスインジェクション、および横方向の移動を実行できるように、秘密通信を実現することを目的としています。
攻撃の連鎖
この攻撃は、攻撃者のインフラストラクチャから取得したFinalDraftマルウェアを含むシェルコードを実行する小さな実行ファイルであるPathLoaderを使って、脅威者が感染者のシステムを侵害することから始まります。
PathLoader には、API のハッシュ化と文字列の暗号化により、静的解析に対する防御が組み込まれています。
FinalDraft はデータの流出とプロセスインジェクションに使用されます。設定を読み込み、セッション ID を生成した後、Outlook の電子メールドラフトを通じてコマンドを送受信し、Microsoft Graph API を通じて通信を確立します。
FinalDraft は、設定に埋め込まれたリフレッシュトークンを使って Microsoft から OAuth トークンを取得し、永続的にアクセスできるように Windows レジストリに保存します。
ソースはこちら:Elastic Security
メールを送信する代わりにOutlookのドラフトを使用することで、検知を回避し、通常のMicrosoft 365トラフィックに紛れ込ませます。
攻撃者からのコマンドは下書き(r_<session-id>)に隠され、レスポンスは新しい下書き(p_<session-id>)に保存されます。実行後、ドラフトコマンドは削除されるため、フォレンジック分析が困難になり、発見される可能性が低くなります。
FinalDraft は合計 37 のコマンドをサポートしており、その中で最も重要なものは以下の通りです:
- データ流出 (ファイル、認証情報、システム情報)
- プロセスインジェクション (mspaint.exe のような正規のプロセス内でペイロードを実行)
- Pass-the-Hash攻撃(横移動のために認証情報を盗む)
- ネットワーク・プロキシ(秘密のネットワーク・トンネルの作成)
- ファイル操作(ファイルのコピー、削除、上書き)
- PowerShellの実行(powershell.exeを起動しない)
Elastic Security Labs は、FinalDraft の Linux 版も観測しています。FinalDraft は、HTTP/HTTPS、リバース UDP & ICMP、バインド/リバース TCP、DNS ベースの C2 交換だけでなく、REST API と Graph API を介して Outlook を使用することもできます。
ソースはこちら:エラスティック・セキュリティ
研究者は、REF7707と名付けられた攻撃キャンペーンを別のレポートで紹介しており、使用された高度な侵入セットとは対照的で、攻撃者の暴露につながったいくつかのopsecミスを説明している。
REF7707は、南米の外務省に焦点を当てたサイバースパイキャンペーンですが、インフラストラクチャの分析により、東南アジアの被害者とのリンクが明らかになり、より広範な作戦であることが示唆されました。
この調査では、攻撃で使用されたGuidLoaderと名付けられた、これまで文書化されていなかった別のマルウェア・ローダーも発見されました。
ソースはこちら:Elastic Security
さらに分析を進めると、攻撃者は、東南アジアの通信およびインターネット・インフラ・プロバイダーの侵害されたエンドポイントを通じて、価値の高い機関を繰り返し標的にしていることがわかりました。
さらに、東南アジアの大学の公開ストレージシステムがマルウェアのペイロードをホストするために使用されていたことから、事前に侵害を受けたか、サプライチェーンを足がかりにしていたことが示唆されました。
Guidloader、PathLoader、FinalDraftを検知するためのYARAルールは、Elastic社のレポート[1,2]の下部に掲載されています。
Comments