FinalDraft adlı yeni keşfedilen bir kötü amaçlı yazılım, Microsoft Outlook’u Microsoft Graph API üzerinden bir komut ve kontrol (C2) iletişim kanalı olarak kullanan tanımlanmıştır.
Bu sofistike kötü amaçlı yazılım, bir dış bakanlığı hedefleyen bir soruşturma sırasında elastik güvenlik laboratuvarları tarafından ortaya çıkarıldı.
Keşif, gizli işlemler için meşru bulut hizmetlerini kullanan siber suçluların artan eğilimini vurgulamakta ve kötü niyetli etkinlikleri meşru trafikle harmanlamaktadır.
Finaldraft’a teknik genel bakış
FinalDraft, casusluk için gelişmiş özelliklere sahip C ++ ile yazılmış tam özellikli bir uzaktan uygulama aracıdır (sıçan).
Kötü amaçlı yazılımların dağıtımını başlatmak için şifreli kabuk kodunu indiren ve yürüten özel bir yükleyici Pathloader ile birlikte çalışır.
Etkinleştirildikten sonra FinalDraft, Outlook’un C2 Communications için taslak e -posta klasörüyle etkileşim kurmak için Microsoft Graph API’sını kullanır.
Komutlar saldırganlar tarafından oluşturulan taslaklar aracılığıyla alınır ve yanıtlar yeni taslaklara geri gönderilir ve geleneksel e -posta izleme araçları tarafından algılanmaktan kaçınır.
Kötü amaçlı yazılım, işlem enjeksiyonu, dosya manipülasyonu ve ağ proxying gibi eylemleri sağlayan 37 komut işleyicisi içerir.
Ayrıca, “powerShell.exe” i çağırmadan ve yanal hareket için çalıntı NTLM karmalarını kullanmadan PowerShell komutlarını yürütme gibi gelişmiş teknikleri de destekler.
Ek olarak, FinalDraft statik analizden kaçmak için dize şifrelemesi ve API karma gibi gizleme teknikleri kullanır.
Microsoft Graph API’sının Sömürülmesi
Microsoft Graph API, geliştiricilere Outlook, OneDrive ve ekipler dahil Microsoft 365 hizmetlerine erişim sağlar.
Siber suçlular, meşru hizmetlerle kesintisiz entegrasyonu nedeniyle bu API’yi kötü niyetli amaçlarla giderek daha fazla istismar ettiler.
FinalDraft’ın durumunda, kötü amaçlı yazılım, Grafik API’sıyla kimlik doğrulaması yapmak için OAuth jetonlarını kullanır ve e -posta taslakları oluşturarak ve yöneterek kalıcı bir iletişim döngüsü oluşturur.
Bu teknik izole edilmemiştir; Siestagraph ve Grager gibi önceki kötü amaçlı yazılım kampanyalarında Grafik API’sının benzer kötüye kullanılması gözlenmiştir.
Bu tür saldırılar, meşru trafik modelleri içindeki kötü niyetli faaliyetleri maskelemek için güvenilir bulut hizmetlerini kullanarak algılama çabalarını karmaşıklaştırıyor.
Elastik güvenlik laboratuvarları ayrıca platformlar arası yetenekleri gösteren bir FinalDraft Linux varyantı tanımladı.
Windows muadilinden daha az özellik açısından zengin olsa da, Linux sürümü, Grafik API’si aracılığıyla HTTP/HTTPS, Ters UDP ve Outlook gibi birden fazla C2 taşıma protokolünü destekler.
Bu, operasyonel erişimini genişletmeyi amaçlayan sürekli gelişmeyi göstermektedir.
Finaldraf’ın keşfi, casusluk için bulut API’lerinden yararlanan modern siber tehditlerin karmaşıklığını vurgulamaktadır.
Kuruluşlar, bu kötü amaçlı yazılımlarla ilişkili uzlaşma göstergelerini (IOC’ler) izlemeleri ve Microsoft Graph gibi meşru API’lerin kötüye kullanılmasına karşı sağlam savunmalar uygulamaları istenir.
Güvenlik ekipleri şunları göz önünde bulundurmalıdır:
- Bulut hizmetleri için katı erişim kontrollerinin uygulanması.
- E -posta taslaklarında anormal etkinliğin izlenmesi ve OAuth jeton kullanımı.
- Proses enjeksiyonunu ve gizlenmiş kötü amaçlı yazılım davranışını tanımlayabilen uç nokta algılama araçlarının kullanılması.
Tehdit aktörleri tekniklerini geliştirmeye devam ettikçe, hassas ortamları finaldraft gibi gelişmiş tehditlerden korumak için proaktif önlemler kritik öneme sahiptir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free