Аналітики Elastic Security Labs розповіли про нову малварі FinalDraft, яка використовує чернетки листів в Outlook для маскування своїх C&C-комунікацій.

За інформацією фахівців, виявлені атаки здійснюються за допомогою інструментарію, до складу якого входять кастомний завантажувач шкідливого ПЗ PathLoader, бекдор FinalDraft і кілька утиліт для пост-експлуатації.

Зазначається, що зловживання можливостями Outlook спрямоване на приховування комунікацій, що дає змогу зловмисникам здійснювати ексфільтрацію даних, проксування, ін’єкції в процеси та бічне переміщення, залишаючи мінімум слідів.

Атаки починаються з того, що зловмисники компрометують систему цільового користувача за допомогою PathLoader – невеликого виконуваного файлу, який виконує шел-код, відповідальний за розгортання малварі FinalDraft, що завантажується з інфраструктури атакувальників.

Шкідник FinalDraft призначений для крадіжки даних і здійснення ін’єкцій у процеси. Після завантаження конфігурації та генерації ідентифікатора сесії малварь встановлює зв’язок за допомогою Microsoft Graph API, відправляючи та отримуючи команди через чернетки в Outlook. Використання чернеток замість надсилання листів допомагає уникнути виявлення і змішатися зі звичайним трафіком Microsoft 365.

Команди зловмисників ховаються в чернетках (r_), а відповіді зберігаються в нових чернетках (p_). Після виконання команд чернетки видаляються.

Загалом FinalDraft підтримує 37 команд, найважливішими з яких дослідники вважають:

-викрадення даних (файлів, облікових даних, системної інформації);
-ін’єкції в процеси (запуск корисного навантаження в легітимних процесах, наприклад mspaint.exe);
-атаки типу Pass-the-Hash (крадіжка облікових даних для автентифікації з метою бокового переміщення);
-проксування (створення прихованих мережевих тунелів);
-файлові операції (копіювання, видалення або перезапис файлів);
-виконання PowerShell (без запуску powershell.exe).

Крім того, під час вивчення цієї кампанії було знайдено ще один раніше невідомий завантажувач малварі GuidLoader, здатний розшифровувати і виконувати корисне навантаження в пам’яті.

До своїх звітів фахівці доклали правила YARA, які допоможуть виявити GuidLoader, PathLoader і FinalDraft.