Недавнее расследование в области кибербезопасности выявило кампанию под названием REF7707, целевой аудиторией которой стало министерство иностранных дел Южной Америки. Используя сложные методы и новейшие вредоносные программы, злоумышленники продемонстрировали как высокую степень технической сложности, так и низкий уровень операционной безопасности, что привело к раскрытию аспектов их инфраструктуры.
Технические аспекты вредоносного ПО
Кампания REF7707 развертывает несколько семейств вредоносных программ, таких как:
- FINALDRAFT — инструмент удалённого администрирования, который функционирует как в системах Windows, так и в Linux.
- GUIDLOADER — отвечает за загрузку и выполнение зашифрованного шеллкода.
- PATHLOADER — вариант, известный своим особым соглашением об именовании файлов.
FINALDRAFT, в частности, использует для управления домен graph.microsoft.com, что делает его сложнее для обнаружения среди обычного организационного трафика. Кроме того, метод эксфильтрации данных через облачные сервисы затрудняет выявление активности злоумышленников традиционными средствами безопасности.
Тактики и стратегии уклонения
Злоумышленники использовали различные техники, чтобы скрыть свои намерения:
- Применение встроенного приложения Windows, certutil, для загрузки вредоносных файлов.
- Использование файла fontdrvhost.exe — переименованного отладчика Windows — для внедрения шеллкода.
Данная стратегия демонстрирует сочетание обычной работы системы с вредоносными действиями, что представляет собой новую форму уклонения.
Непрерывность вторжения и использование облачных сервисов
Шпионская активность поддерживалась с помощью запланированной задачи системного уровня, что обеспечивало непрерывность вторжения. Анализ показал, что злоумышленники также взаимодействовали с облачными сервисами, такими как Google Firebase и Pastebin, для доставки полезной нагрузки.
Эти действия представляют собой серьезные проблемы для систем безопасности, которые в основном полагаются на анализ сетевого трафика.
Выводы
Кампания REF7707 демонстрирует высокую степень сложности методов проникновения, использующих новые вредоносные программы и особенности операционных систем для сокрытия злонамеренных намерений. Зависимость от законных служб командования и контроля, в сочетании с передовыми тактиками уклонения, подчеркивает необходимость адаптивных мер безопасности, способных выявлять такие тонкие угрозы.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Кампания REF7707: рекламные тактики кибершпионов против южноамериканских МИД".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.