FINALDRAFT malware
Az Elastic Security Labs jelentése egy kiberkampányt azonosított, amely egy dél-amerikai ország külügyminisztériumát célozta meg, és kapcsolatban áll más délkelet-ázsiai támadásokkal. A kampányt – amelyet egy REF7707 néven tartanak nyilván – során új, eddig ismeretlen rosszindulatú programcsaládokat használtak, mint például a FINALDRAFT, a GUIDLOADER és a PATHLOADER. Bár a támadók technikailag fejlett eszközöket alkalmaztak, több operatív hibát is elkövettek, amelyek révén további infrastruktúrájuk és rosszindulatú szoftvereik váltak felfedezhetővé.
A támadók több célpont ellen is bevetették a FINALDRAFT nevű rosszindulatú szoftvert, amelynek Windows és Linux változata is létezik. A támadók a Windows beépített certutil eszközét használták fájlok letöltésére és végrehajtására, ami egy kevésbé gyakori módszer a rosszindulatú tevékenységek során. A parancs- és vezérlési (C2) kommunikációhoz a támadók széles körben használtak felhőszolgáltatásokat és más külső platformokat, megnehezítve ezzel a tevékenységük nyomon követését. A támadók több hibát is elkövettek, például előkészítő rosszindulatú mintákat és infrastruktúrát hagytak felfedezhető állapotban, ami további információkhoz juttatta a biztonsági szakértőket.
2024 novemberének végén az Elastic Security Labs szokatlan tevékenységet észlelt egy dél-amerikai ország külügyminisztériumának hálózatában. A vizsgálat során kiderült, hogy a támadók a certutil eszközt használták rosszindulatú fájlok letöltésére és a *C:\ProgramData* könyvtárba történő mentésére. Ezek között szerepelt a fontdrvhost.exe (egy átnevezett Windows debugger), a config.ini (fegyverzett INI fájl), valamint a wmsetup.log. A támadók a WinrsHost.exe segítségével mozgatták ezeket a fájlokat a hálózaton belül, ami azt jelzi, hogy érvényes hálózati hitelesítő adatokkal rendelkeztek, és oldalirányú mozgást hajtottak végre a már kompromittált rendszereken keresztül.
A kampány során fejlett támadók technikailag kifinomult eszközöket és módszereket alkalmaznak, ugyanakkor operatív hibáik lehetőséget adnak a biztonsági szakembereknek a tevékenységük felfedésére és megértésére. A kampány során használt új rosszindulatú programok és technikák alapos elemzése segíthet a hasonló jövőbeli fenyegetések azonosításában és megelőzésében.
