Tehdit avcıları, enfekte olmuş ana bilgisayarlara uzaktan erişim sağlayabilen ısmarlama kötü amaçlı yazılımlarla isimsiz bir Güney Amerika ulusunun dış bakanlığını hedefleyen yeni bir kampanyaya ışık tuttular.
Kasım 2024’te tespit edilen etkinlik, elastik güvenlik laboratuvarları tarafından bir tehdit kümesiyle ilişkilendirildi. Ref7707. Diğer hedeflerden bazıları bir telekomünikasyon varlığı ve her ikisi de Güneydoğu Asya’da bulunan bir üniversite bulunmaktadır.
Güvenlik araştırmacıları Andrew Pease ve Seth Goodwin teknik bir analizde, “REF7707 kampanyası iyi mühendislik, son derece yetenekli, yeni bir saldırı seti ile karakterize edilirken, kampanya sahipleri kötü kampanya yönetimi ve tutarsız kaçaklama uygulamaları sergiledi.” Dedi.
Microsoft’un sertifika uygulamasının Dışişleri Bakanlığı ile ilişkili bir web sunucusundan ek yükler indirmek için kullanıldığı gözlemlenmesine rağmen, saldırılarda kullanılan tam başlangıç erişim vektörü şu anda net değildir.
Şüpheli dosyaları almak için kullanılan sertifika komutlarının, bağlı bir ağdaki bilinmeyen bir kaynak sisteminden Windows uzaktan yönetimin uzak kabuk eklentisi (winrshost.exe) aracılığıyla yürütüldüğü bulunmuştur.
Araştırmacılar, “Saldırganların zaten geçerli ağ kimlik bilgilerine sahip olduklarını ve bunları daha önce uzlaşmış bir ev sahibinden yanal hareket için kullandıklarını gösteriyor.”
Yürütülecek dosyaların ilki, harici bir sunucudan alınan şifreli kabuk kodunun yürütülmesine izin veren PathLoader adlı bir kötü amaçlı yazılımdır. Finaldraft olarak adlandırılan çıkarılan kabuk kodu, daha sonra yeni ortaya çıkan bir “mspaint.exe” işleminin belleğine enjekte edilir.
C ++ ile yazılan FinalDraft, anında ek modüller yürütmek için özelliklerle donatılmış ve komut ve kontrol (C2) amaçları için Microsoft Graph API üzerinden Outlook e-posta hizmetini kötüye kullanan tam özellikli bir uzaktan yönetim aracıdır. Grafik API’sının kötüye kullanılmasının daha önce Siestagraph adlı başka bir arka kapıda tespit edildiğini belirtmek gerekir.
İletişim mekanizması, posta kutusunun taslak klasöründe depolanan komutların ayrıştırılmasını ve yürütmenin sonuçlarını her komut için yeni taslak e -postalara yazmayı gerektirir. FinalDraft, işlem enjeksiyonu, dosya manipülasyonu ve ağ proxy özellikleri etrafında tasarlanmış 37 komut işleyicilerini kaydeder.
Ayrıca çalıntı NTLM karmalarıyla yeni süreçler başlatmak ve PowerShell komutlarını “PowerShell.exe” ikili çağırmayacak şekilde yürütmek için tasarlanmıştır. Bunun yerine, Windows (ETW) için etkinlik izlemesinden kaçınmak için birkaç API’yi yamalıyor ve imparatorluk sonrası araç setinin bir parçası olan meşru bir yardımcı program olan PowerPick’i piyasaya sürüyor.
Brezilya ve Amerika Birleşik Devletleri’nden Virustotal’a yüklenen elf ikili artefaktları, benzer C2 işlevselliğine sahip bir FinalDraft varyantının varlığını gösterir. Linux sürümü, Popen aracılığıyla kabuk komutlarını yürütebilir ve kendisini sistemden silebilir.
Araştırmacılar, “Araçların bütünlüğü ve ilgili mühendislik seviyesi, geliştiricilerin iyi organize edildiğini gösteriyor.” Dedi. Diyerek şöyle devam etti: “Operasyonun uzun süreli zaman çerçevesi ve telemetremizden kanıtlar muhtemelen casusluk odaklı bir kampanya olduğunu gösteriyor.”