Pemburu ancaman telah menjelaskan kampanye baru yang menargetkan kementerian luar negeri dari negara Amerika Selatan yang tidak disebutkan namanya dengan malware yang dipesan lebih dahulu yang mampu memberikan akses jarak jauh ke tuan rumah yang terinfeksi.
Kegiatan, terdeteksi pada November 2024, telah dikaitkan dengan laboratorium keamanan elastis dengan kluster ancaman yang dilacaknya sebagai Ref7707. Beberapa target lain termasuk entitas telekomunikasi dan universitas, keduanya terletak di Asia Tenggara.
“Sementara kampanye Ref7707 ditandai oleh set intrusi baru yang direkayasa dengan baik, sangat cakap, pemilik kampanye menunjukkan manajemen kampanye yang buruk dan praktik penghindaran yang tidak konsisten,” kata peneliti keamanan Andrew Pease dan Seth Goodwin dalam analisis teknis.
Vektor akses awal yang tepat yang digunakan dalam serangan saat ini tidak jelas, meskipun telah diamati bahwa aplikasi certutil Microsoft digunakan untuk mengunduh muatan tambahan dari server web yang terkait dengan kementerian luar negeri.
Perintah certutil yang digunakan untuk mengambil file yang mencurigakan telah ditemukan dieksekusi melalui plugin shell jarak jauh Windows Remote Management (winrshost.exe) dari sistem sumber yang tidak dikenal pada jaringan yang terhubung.
“Ini menunjukkan bahwa penyerang sudah memiliki kredensial jaringan yang valid dan menggunakannya untuk gerakan lateral dari host yang sebelumnya dikompromikan di lingkungan,” kata para peneliti.
File pertama yang akan dieksekusi adalah malware bernama Pathloader yang memungkinkan pelaksanaan shellcode terenkripsi yang diterima dari server eksternal. Shellcode yang diekstraksi, yang dijuluki finaldraft, kemudian disuntikkan ke dalam memori proses “mspaint.exe” yang baru dipuncang.
Ditulis dalam C ++, FinalDraft adalah alat administrasi jarak jauh berfitur lengkap yang dilengkapi dengan kemampuan untuk menjalankan modul tambahan dengan cepat dan menyalahgunakan layanan email Outlook melalui Microsoft Graph API untuk keperluan perintah-dan-kontrol (C2). Perlu dicatat bahwa penyalahgunaan grafik API sebelumnya telah terdeteksi di pintu belakang lain bernama Siestagraph.
Mekanisme komunikasi mensyaratkan parsing perintah yang disimpan di folder draft kotak surat dan menulis hasil eksekusi ke dalam konsep email baru untuk setiap perintah. FinalDraft mendaftar 37 penangan perintah yang dirancang di sekitar injeksi proses, manipulasi file, dan kemampuan proxy jaringan.
Ini juga direkayasa untuk memulai proses baru dengan hash NTLM yang dicuri dan menjalankan perintah PowerShell dengan cara sehingga tidak memohon biner “PowerShell.exe”. Sebaliknya, ia menambal beberapa API untuk menghindari penelusuran acara untuk Windows (ETW) dan meluncurkan PowerPick, utilitas yang sah yang merupakan bagian dari toolkit Empire Post-Exploitation.
Artefak biner ELF yang diunggah ke Virustotal dari Brasil dan Amerika Serikat menunjukkan adanya varian Linux dari FinalDraft yang menampilkan fungsionalitas C2 yang serupa. Versi Linux, untuk bagiannya, dapat menjalankan perintah shell melalui Popen dan menghapus dirinya dari sistem.
“Kelengkapan alat dan tingkat rekayasa yang terlibat menunjukkan bahwa pengembang terorganisir dengan baik,” kata para peneliti. “Kerangka waktu yang luas dari operasi dan bukti dari telemetri kami menunjukkan kemungkinan kampanye yang berorientasi spionase.”
