Microsoft Graph API üzerinden iletişim kanalı olarak Outlook’u kullanan yeni kötü amaçlı yazılımlardan yararlanıyor

   Şubat 13, 2025  Posted in CyberSecurityNews


Microsoft Graph API üzerinden iletişim kanalı olarak Outlook'u kullanan yeni kötü amaçlı yazılımlardan yararlanıyor

Microsoft Graph API üzerinden Microsoft Outlook’u bir iletişim kanalı olarak kullanan yeni bir kötü amaçlı yazılım ailesi keşfedildi.

Bu sofistike kötü amaçlı yazılım, sırasıyla Pathloader ve FinalDraft olarak bilinen özel bir yükleyici ve arka kapı içerir.

Kötü amaçlı yazılım, karmaşıklığı ve operasyonunun uzun süreli zaman çerçevesi ile önerildiği gibi casusluk odaklı bir kampanyanın bir parçasıdır.

PathLoader: Exprighted Shellcode’u harici altyapıdan indiren ve yürüten hafif bir Windows yürütülebilir üründür.

Statik analizden kaçmak için fowler-noll-vo karma işlevini kullanarak API karma kullanır. Yapılandırma, .data Bölüm ve C2 ayarlarını içerir.

Elastik laboratuvar araştırmacıları, yol yükleyicinin işlevselliğini gizlemek için dize şifrelemesi kullandığını tespit ederken, analistlerin kontrol akışını takip etmesini zorlaştırdı.

// API Hashing Example
uint64_t api_hash = 0;
do {
    api_hash = *data_source++ + 31 * api_hash;
} while (data_source != &data_source[data_source_length]);

Pathloader, Sandbox ortamlarında derhal yürütmeyi kullanarak GetTickCount64 Ve Sleep yöntemler. Daha sonra, önceden yapılandırılmış C2 alanlarından HTTPS GET istekleri aracılığıyla Shellcode’u indirmeye çalışır.

Pathloader & FinalDraft Yürütme (Kaynak – Elastik)

FinalDraft: C ++ ile yazılmış, veri pessfiltrasyonu ve proses enjeksiyonuna odaklanan 64 bit bir kötü amaçlı yazılımdır.

Komut ve Kontrol (C2) sunucusuyla iletişim kurmak için Microsoft Graph API’sını kullanır. Kötü amaçlı yazılım, yapılandırmasında depolanan bir yenileme jetonunu kullanarak bir Microsoft Graph API jetonu alır.

Bu jeton, geçerli kalırsa istekler arasında yeniden kullanılır.

// Configuration Structure
struct Configuration {
    char c2_hosts_or_refresh_token[5000];
    char pastebin_url[200];
    char guid[36];
    uint8_t unknown_0[4];
    uint16_t build_id;
    uint32_t sleep_value;
    uint8_t communication_method;
    uint8_t aes_encryption_key[16];
    bool get_external_ip_address;
    uint8_t unknown_1[10]
};

FinalDraft, C2 sunucusuyla iletişim kurmak için Outlook’ta oturum e -posta taslakları oluşturur. Bu e -postaların içeriği Base64 kodlanmış ancak AES şifreli değildir. Komutlar işlenir ve yanıtlar yeni taslak e -postalara yazılır.

İletişim protokolü

İletişim döngüsü, yoksa bir oturum e -posta taslağı oluşturmayı içerir. Komut yanıt e -postaları, işlenmiş her komut için taslak olarak yazılır. Oturum veri yapısı bir oturum kimliği ve oluşturma numarası içerir.

// Session Data Structure
struct Session {
    char random_bytes[30];
    uint32_t total_size;
    char field_22;
    uint64_t session_id;
    uint64_t build_number;
    char field_33;
};
İletişim Protokolü (Kaynak – Elastik)

Komutlar, posta taslaklarındaki son beş C2 komut isteği e -postalarını kontrol ederek doldurulur. İstekleri okuduktan sonra e -postalar silinir.

FinalDraft, işlem enjeksiyonu, dosya manipülasyonu ve ağ proxy özelliklerine odaklanan 37 komut işleyicilerini kaydeder. Bazı anahtar komutlar şunları içerir:-

  • Collecomputerinformation: Kurban makinesi hakkında bilgi toplar ve gönderir.
  • Starttcpserverproxytoc2: C2 sunucusuna bir TCP sunucusu proxy başlatır.
  • DoprocessinjectionSendOutputex: Çalışma işlemlerine enjekte eder ve çıktı gönderir.
// Collected Information Structure
struct ComputerInformation {
    char field_0;
    uint64_t session_id;
    char field_9[9];
    char username[50];
    char computer_name[50];
    char field_76[16];
    char external_ip_address[20];
    char internal_ip_address[20];
    uint32_t sleep_value;
    char field_B2;
    uint32_t os_major_version;
    uint32_t os_minor_version;
    bool product_type;
    uint32_t os_build_number;
    uint16_t os_service_pack_major;
    char field_C2[85];
    char field_117;
    char current_module_name[50];
    uint32_t current_process_id;
};

C2 iletişimleri için Microsoft Graph API’sının kullanımı, bu tür sofistike tehditlere karşı korunmak için gelişmiş güvenlik önlemlerine yönelik kritik ihtiyacı göstermektedir.

FinalDraft gibi sofistike kötü amaçlı yazılım tehditlerine karşı korumak için kuruluşlar, şüpheli bir etkinlik için Microsoft Graph API kullanımını düzenli olarak izlemeli ve sıkı erişim kontrolleri uygulamalı, Outlook’a erişimi ve API’ye yalnızca gerekli personele erişmelidir.

Gelişmiş uç nokta güvenlik çözümlerinin dağıtılması, kötü amaçlı yazılım yürütülmesini algılamaya ve önlemeye yardımcı olabilirken, düzenli güvenlik denetimleri yürütülmesi potansiyel güvenlik açıklarının tanımlanmasını ve ele alınmasını sağlar.

Bu proaktif önlemler bir kuruluşun güvenlik duruşunu önemli ölçüde artırır.

Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free



Source link