Los cazadores de amenazas han arrojado luz sobre una nueva campaña dirigida al Servicio de Relaciones Exteriores de una nación sudamericana sin nombre con malware a medida capaz de otorgar golpe remoto a anfitriones infectados.
La actividad, detectada en noviembre de 2024, ha sido atribuida por Elastic Security Labs a un clúster de amenazas que rastrea como Ref7707. Algunos de los otros objetivos incluyen una entidad de telecomunicaciones y una universidad, uno y otro ubicados en el sudeste oriental.
“Si proporcionadamente la campaña Ref7707 se caracteriza por un solaz de intrusiones novedoso proporcionadamente diseñado, en extremo capaz y en extremo capaz, los propietarios de la campaña exhibieron una mala encargo de campañas y prácticas de distracción inconsistentes”, dijeron los investigadores de seguridad Andrew Pease y Seth Goodwin en un exploración técnico.
El vector de golpe auténtico exacto utilizado en los ataques no está claro actualmente, aunque se ha observado que la aplicación Certutil de Microsoft se usa para descargar cargas aperos adicionales de un servidor web asociado con el Servicio de Relaciones Exteriores.
Se ha opuesto que los comandos CertUtil utilizados para recuperar los archivos sospechosos se ejecutan a través del complemento de shell remoto de Windows Remote Management (WinRshost.exe) desde un sistema de origen desconocido en una red conectada.
“Indica que los atacantes ya poseían credenciales de red válidas y las usaban para el movimiento adjunto de un huésped previamente comprometido en el entorno”, señalaron los investigadores.
El primero de los archivos que se ejecutará es un malware llamado Pathloader que permite la ejecución de ShellCode enigmático recibido de un servidor forastero. El código de carcasa extraído, denominado FinalDraft, se inyecta después en la memoria de un proceso “msPaint.exe” recientemente designado.
Escrito en C ++, FinalDraft es una utensilio de empresa remota completa que viene equipada con capacidades para ejecutar módulos adicionales sobre la mosca y abusa del servicio de correo electrónico de Outlook a través de la API de Microsoft Graph para fines de comando y control (C2). Vale la pena señalar que el extralimitación de la API del descriptivo se ha detectado previamente en otra puerta trasera convocatoria Siestagraph.
El mecanismo de comunicación implica analizar los comandos almacenados en la carpeta de borradores del abertura y escribir los resultados de la ejecución en nuevos correos electrónicos de boceto para cada comando. FinalDraft registra 37 manejadores de comando que están diseñados en torno a la inyección del proceso, la manipulación de archivos y las capacidades de proxy de red.
Incluso está diseñado para iniciar nuevos procesos con hashes robados y ejecutar los comandos de PowerShell de forma tal que no invoca el binario “PowerShell.exe”. En su puesto, parche varias API para sortear el rastreo de eventos para Windows (ETW) y garrocha PowerPick, una utilidad legítima que forma parte del Kit de herramientas del Imperio posteriormente de la explotación.
Los artefactos binarios ELF cargados a Virustotal desde Brasil y los Estados Unidos indican la presencia de una transformación de Linux de la trampa final que presenta una funcionalidad C2 similar. La traducción de Linux, por su parte, puede ejecutar comandos de shell a través de Popen y eliminarse del sistema.
“La integridad de las herramientas y el nivel de ingeniería involucrado sugieren que los desarrolladores están proporcionadamente organizados”, dijeron los investigadores. “El entorno de tiempo extendido de la operación y la evidencia de nuestra telemetría sugieren que probablemente sea una campaña orientada al espionaje”.
