Elastic Security Labs проводила исследование нового семейства вредоносных программ, нацеленного на министерство иностранных дел. Вредоносное ПО, идентифицированное как REF7707, проявляет высокую степень сложности и адаптивности, что ставит под угрозу информационную безопасность организаций.
Описание REF7707
REF7707 использует Outlook через Microsoft Graph API для обмена данными с командными и контрольными системами (C2). Основные компоненты данного вредоносного ПО включают:
- PATHLOADER: пользовательский загрузчик, работающий в средах Windows PE и Linux.
- FINALDRAFT: бэкдор, предназначенный для извлечения данных и внедрения процессов.
Технические характеристики
PATHLOADER представляет собой компактный исполняемый файл Windows PE размером около 206 килобайт. Он загружает и выполняет зашифрованный шелл-код с внешних серверов, демонстрируя:
- Использование методов антианализа, таких как хеширование API и шифрование строк.
- Синхронизацию через методы GetTickCount64 и Sleep для задержки активности.
- Упор на связь с жестко закодированными доменами C2 для извлечения AES шеллкода.
FINALDRAFT, являясь следующим этапом, представляет собой 64-разрядное приложение на C++, которое:
- Настраивает рабочие параметры через службу Outlook и генерирует уникальный идентификатор сеанса.
- Использует методы, такие как VirtualAllocEx, WriteProcessMemory и RtlCreateUserThread, для сбора системной информации и манипуляции процессами.
Расширенные возможности
Ключевые возможности FINALDRAFT включают:
- Использование именованных каналов для обмена данными.
- Инструментарий передачи хэша для горизонтального перемещения.
- Возможность выполнения команд PowerShell без прямого вызова исполняемого файла PowerShell.
Благодаря динамической структуре взаимодействия с несколькими обработчиками команд, этот вредоносный код способен выполнять широкий спектр операций, включая внедрение процессов и манипулирование файлами.
Версия для Linux
Дополнительно был обнаружен вариант FINALDRAFT для Linux, который:
- Поддерживает транспортный протокол с аналогичной функциональностью.
- Показывает адаптивность вредоносного ПО к различным операционным системам.
- Обеспечивает выполнение команд оболочки через метод popen, хотя и не поддерживает внедрение процессов.
Таким образом, REF7707 демонстрирует серьезные угрозы для кибербезопасности, подтверждая, что киберпреступники продолжают адаптировать свои методы в ответ на усилия по защите информации.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "REF7707: Новое семейство вредоносных программ угрожает безопасности".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.