Outlook: malware FinalDraft abusa del servizio di posta Microsoft

Un nuovo malware chiamato FinalDraft ha utilizzato le bozze di posta elettronica di Outlook per comunicazioni di command-and-control in attacchi contro un ministero in un paese sudamericano. Gli attacchi sono stati scoperti da Elastic Security Labs e si basano su un set di strumenti completo che include un caricatore di malware personalizzato chiamato PathLoader, la backdoor FinalDraft e molteplici utility di post-sfruttamento. L'abuso di Outlook, in questo caso, mira a ottenere comunicazioni segrete. Gli aggressori possono quindi eseguire esfiltrazione di dati, proxy, iniezione di processi e movimento laterale lasciando il minimo possibile di tracce.

L'attacco inizia con l’hacker che compromette il sistema del bersaglio con PathLoader, un file exe che esegue shellcode, incluso il malware FinalDraft, recuperato dall'infrastruttura dell'attaccante. PathLoader incorpora protezioni contro l'analisi statica eseguendo l'hashing API e utilizzando la crittografia delle stringhe. FinalDraft viene utilizzato per l'esfiltrazione dei dati e l'iniezione di processi. Dopo aver caricato la configurazione e generato un ID di sessione, il malware stabilisce la comunicazione tramite Microsoft Graph API, inviando e ricevendo comandi tramite bozze di Outlook.  FinalDraft recupera un token OAuth da Microsoft utilizzando un token di aggiornamento incorporato nella sua configurazione. In seguito, lo memorizza nel Registro di sistema di Windows per un accesso persistente.

Outlook: malware FinalDraft si confonde tra il traffico di Microsoft

Utilizzando le bozze di Outlook anziché inviare e-mail, il malware evita il rilevamento e si confonde con il normale traffico di Microsoft 365. I comandi dell’hacker sono nascosti nelle bozze (r_<session-id>) e le risposte sono archiviate in nuove bozze (p_<session-id>). Dopo l'esecuzione, le bozze dei comandi vengono eliminate, rendendo più difficile l'analisi forense e più improbabile il rilevamento.

FinalDraft supporta un totale di 37 comandi. Questi includono: esfiltrazione dati, iniezione di processo, attacchi Pass-the-Hash, proxy di rete, operazioni sui file ed esecuzione di PowerShell. Elastic Security Labs ha anche osservato una variante Linux di FinalDraft, che può ancora utilizzare Outlook tramite REST API e Graph API, nonché HTTP/HTTPS, reverse UDP e ICMP, bind/reverse TCP e scambio C2 basato su DNS. I ricercatori presentano la campagna di attacco, denominata REF7707, in un report separato. Questa descrive diversi errori di opsec che sono in contrasto con il set di intrusioni avanzate utilizzato e che hanno portato all'esposizione dell'attaccante. REF7707 è una campagna di cyber-spionaggio focalizzata su un ministero degli esteri sudamericano. Tuttavia, l'analisi dell'infrastruttura ha rivelato collegamenti con vittime del sud-est asiatico, suggerendo un'operazione più ampia.

L'indagine ha anche scoperto un altro payload di malware precedentemente non documentato utilizzato negli attacchi, denominato GuidLoader. Questo è in grado di decifrare ed eseguire payload in memoria. Ulteriori analisi hanno mostrato che l'aggressore ha ripetutamente preso di mira istituzioni di alto valore tramite endpoint compromessi nei provider di infrastrutture di telecomunicazioni e Internet nel sud-est asiatico. Inoltre, il sistema di archiviazione pubblico di un'università del sud-est asiatico è stato utilizzato per ospitare payload di malware. Ciò suggerisce una compromissione precedente o un punto d'appoggio nella supply chain. Le regole YARA per aiutare i difensori a rilevare Guidloader, PathLoader e FinalDraft sono disponibili in fondo ai report di Elastic.