FINALDRAFT 恶意软件利用微软Graph API进行间谍活动

安全研究人员发现一项新的网络攻击活动，该活动针对某个未具名南美国家的外交部，攻击者使用定制的恶意软件授予对受感染主机的远程访问权限。

Elastic Security Labs 于 2024 年 11 月检测到该攻击活动，并将其归因于其跟踪的威胁集群REF7707。其他目标包括东南亚一家电信实体和一所大学。

安全研究人员在技术分析中表示： “虽然 REF7707 活动的特点是精心设计、功能强大、入侵手段新颖，但活动所有者表现出糟糕的活动管理以及不一致的规避做法。”

REF7707-钻石模型

虽然已经观察到微软的certutil 应用程序用于从与外交部相关联的网络服务器下载其他有效负载，但攻击中使用的确切初始访问载体目前尚不清楚。

已发现用于检索可疑文件的 certutil 命令是通过 Windows 远程管理的远程 Shell 插件 ( WinrsHost.exe ) 从连接的网络上的未知源系统执行的。

研究人员指出：“这表明攻击者已经拥有有效的网络凭证，并正在使用它们从环境中先前受到感染的主机进行横向移动。”

第一个要执行的文件是名为 PATHLOADER 的恶意软件，它允许执行从外部服务器收到的加密 shellcode。提取的 shellcode（称为 FINALDRAFT）随后被注入到新生成的“mspaint.exe”进程的内存中。

FINALDRAFT用 C++ 编写，是一款功能齐全的远程管理工具，具备即时执行附加模块的功能，并通过 Microsoft Graph API 滥用 Outlook 电子邮件服务以达到命令与控制 (C2) 的目的。值得注意的是，Graph API 的滥用此前已在名为SIESTAGRAPH的另一个后门中被检测到。

通信机制需要解析邮箱草稿文件夹中存储的命令，并将执行结果写入每个命令的新草稿电子邮件中。FINALDRAFT 注册了 37 个命令处理程序，这些处理程序是围绕进程注入、文件操作和网络代理功能设计的。

它还被设计成使用窃取的 NTLM 哈希启动新进程，并以不调用“powershell.exe”二进制文件的方式执行 PowerShell 命令。相反，它会修补几个 API 以逃避 Windows 事件跟踪 ( ETW )，并启动PowerPick，这是一个合法实用程序，是 Empire 后漏洞利用工具包的一部分。

从巴西和美国上传到 VirusTotal 的 ELF 二进制文件表明存在具有类似 C2 功能的 FINALDRAFT 的 Linux 变体。Linux 版本可以通过popen执行 shell 命令并从系统中删除自身。

研究人员表示：“工具的完整性和所涉及的工程水平表明开发人员组织严密。此次行动持续时间的延长以及来自遥测的证据表明，这很可能是一场以间谍为目的的活动。”

技术报告:

https://www.elastic.co/security-labs/fragile-web-ref7707

新闻链接：

https://thehackernews.com/2025/02/finaldraft-malware-exploits-microsoft.html

讲述普通人能听懂的安全故事