Исследователи Elastic Security Labs обнаружили новую кибератаку, в ходе которой хакеры использовали мощный вредоносный инструмент FINALDRAFT. Целью атакующих стали внешнеполитическое ведомство одной из стран Южной Америки, телекоммуникационная компания и университет в Юго-Восточной Азии.
FINALDRAFT написан на языке программирования C++ и позволяет хакерам удалённо управлять заражёнными системами. Он использует Microsoft Graph API для скрытого управления через черновики почтового сервиса Outlook.
Атакующие использовали утилиту certutil для загрузки файлов с сервера, связанного с внешнеполитическим ведомством. Злоумышленники имели доступ к внутренней сети и украденные учётные данные.
Атака начиналась с троянца PATHLOADER, который загружал зашифрованный код и внедрял его в память процесса «mspaint.exe». Этот код активировал FINALDRAFT, позволяя хакерам управлять системами.
FINALDRAFT поддерживает 37 команд, включая управление файлами, внедрение в процессы и создание сетевых прокси. Он также может запускать процессы с украденными NTLM-хешами и выполнять PowerShell-команды.
Атака была тщательно подготовлена, что свидетельствует о высоком профессионализме разработчиков. Однако ошибки в управлении кампанией и слабые меры сокрытия указывают на спешку или недостаточный контроль со стороны операторов.
Группировка REF7707 продолжает активно действовать, что указывает на разведывательную направленность операции. Эксперты подчеркивают важность усиления кибербезопасности и постоянного мониторинга угроз для предотвращения подобных инцидентов в будущем.
Скрытые возможности нового бэкдора FINALDRAFT: 37 команд для атаки
