Un nouveau logiciel malveillant appelé FinalDraft utilise des brouillons d’e-mails Outlook pour la communication de commandement et de contrôle lors d’attaques contre un ministère dans un pays d’Amérique du Sud.
Les attaques ont été découvertes par Elastic Security Labs et reposent sur un ensemble d’outils complet comprenant un chargeur de logiciels malveillants personnalisé nommé PathLoader, la porte dérobée FinalDraft et plusieurs utilitaires de post-exploitation.
L’abus d’Outlook, dans ce cas, vise à obtenir des communications secrètes, permettant aux attaquants d’effectuer une exfiltration de données, un proxy, une injection de processus et un mouvement latéral tout en laissant un minimum de traces possibles.
Chaîne d’attaque
L’attaque commence lorsque l’auteur de la menace compromet le système de la cible avec PathLoader, un petit fichier exécutable qui exécute le shellcode, y compris le logiciel malveillant FinalDraft, extrait de l’infrastructure de l’attaquant.
PathLoader intègre des protections contre l’analyse statique en effectuant le hachage de l’API et en utilisant le cryptage des chaînes.
FinalDraft est utilisé pour l’exfiltration de données et l’injection de processus. Après avoir chargé la configuration et généré un identifiant de session, le logiciel malveillant établit la communication via l’API Microsoft Graph, en envoyant et en recevant des commandes via des brouillons d’e-mails Outlook.
FinalDraft récupère un jeton OAuth auprès de Microsoft à l’aide d’un jeton d’actualisation intégré dans sa configuration et le stocke dans le registre Windows pour un accès persistant.
En utilisant des brouillons Outlook au lieu d’envoyer des e-mails, il évite la détection et se fond dans le trafic Microsoft 365 normal.
Les commandes de l’attaquant sont masquées dans les brouillons (r_ < id de session>) et les réponses sont stockées dans de nouveaux brouillons (p_). Après l’exécution, les commandes de brouillon sont supprimées, ce qui rend l’analyse médico-légale plus difficile et la détection plus improbable.
Final Draft prend en charge un total de 37 commandes, la plus importante d’entre elles étant:
- Exfiltration de données (fichiers, informations d’identification, informations système)
- Injection de processus (exécution de charges utiles dans des processus légitimes comme mspaint.exe)
- Attaques Pass-the-Hash (vol d’informations d’authentification pour un mouvement latéral)
- Proxy réseau (création de tunnels réseau secrets)
- Opérations sur les fichiers (copie, suppression ou écrasement de fichiers)
- Exécution de PowerShell (sans lancer powershell.exe)
Elastic Security Labs a également observé une variante Linux de FinalDraft, qui peut toujours utiliser Outlook via l’API REST et l’API Graph, ainsi que HTTP / HTTPS, reverse UDP et ICMP, bind / reverse TCP et échange C2 basé sur DNS.
Les chercheurs présentent la campagne d’attaque, baptisée REF7707, dans un rapport séparé qui décrit plusieurs erreurs opsec qui contrastent avec l’ensemble d’intrusion avancé utilisé et qui ont conduit à l’exposition de l’attaquant.
REF7707 est une campagne de cyberespionnage axée sur un ministère des Affaires étrangères sud-américain, mais l’analyse de l’infrastructure a révélé des liens avec des victimes d’Asie du Sud-Est, suggérant une opération plus large.
L’enquête a également révélé un autre chargeur de logiciels malveillants précédemment non documenté utilisé dans les attaques, nommé GuidLoader, capable de déchiffrer et d’exécuter des charges utiles en mémoire
Une analyse plus approfondie a montré que l’attaquant ciblait à plusieurs reprises des institutions de grande valeur via des terminaux compromis dans les fournisseurs d’infrastructure de télécommunications et d’Internet en Asie du Sud-Est.
De plus, le système de stockage public d’une université d’Asie du Sud-Est a été utilisé pour héberger des charges utiles de logiciels malveillants, suggérant un compromis préalable ou un ancrage dans la chaîne d’approvisionnement.