FinalDraft 恶意软件滥用 Outlook 邮件服务进行秘密通信针对南美目标

一种名为 FinalDraft 的新恶意软件使用 Outlook 电子邮件草稿进行命令和控制通信，以攻击南美国家的关键部门。

该攻击活动由 Elastic Security Labs 发现 ，攻击者依赖于一套完整的工具集，其中包括名为 PathLoader 的自定义恶意软件加载器、FinalDraft 后门和多个后利用实用程序。

在这种情况下，滥用 Outlook 的目的是实现隐蔽通信，允许攻击者执行数据泄露、代理、进程注入和横向移动，同时留下尽可能少的痕迹。

攻击链

攻击始于威胁组织使用 PathLoader 入侵目标系统。PathLoader 是一个小型可执行文件，可执行从攻击者基础设施中检索到的 shellcode，其中包括 FinalDraft 恶意软件。

PathLoader 通过执行 API 散列和使用字符串加密来整合针对静态分析的保护。

FinalDraft 用于数据泄露和进程注入。在加载配置并生成会话 ID 后，恶意软件通过 Microsoft Graph API 建立通信，通过 Outlook 电子邮件草稿发送和接收命令。

FinalDraft 使用其配置中嵌入的刷新令牌从 Microsoft 检索 OAuth 令牌，并将其存储在 Windows 注册表中以实现持久访问。

存储在 Windows 注册表中的令牌，来源：Elastic Security

通过使用 Outlook 草稿而不是发送电子邮件，它可以避免检测并融入正常的 Microsoft 365 流量中。

攻击者发出的命令隐藏在草稿中（r_<session-id>），而响应则存储在新草稿中（p_<session-id>）。执行后，草稿命令将被删除，这使得取证分析更加困难，检测也更加不可能。

FinalDraft 总共支持 37 个命令，其中最重要的是：

• 数据泄露（文件、凭证、系统信息）
• 进程注入（在合法进程中运行有效负载，如     mspaint.exe）
• 传递哈希攻击（窃取身份验证凭据以进行横向移动）
• 网络代理（创建隐蔽的网络隧道）
• 文件操作（复制、删除或覆盖文件）
• PowerShell 执行（无需启动     powershell.exe）

Elastic Security Labs 还观察到 FinalDraft 的 Linux 变体，它仍然可以通过 REST API 和 Graph API 使用 Outlook，以及 HTTP/HTTPS、反向 UDP 和 ICMP、绑定/反向 TCP 和基于 DNS 的 C2 交换。

研究人员在另一份报告中介绍了这次被称作 REF7707 的攻击活动， 报告中描述了几个与所用高级入侵手段形成鲜明对比、导致攻击者暴露的安全操作失误。

REF7707 是针对南美外交部的网络间谍活动，但对其基础设施的分析显示其与东南亚受害者有联系，暗示其行动范围更为广泛。

调查还发现了攻击中使用的另一个之前未记录的恶意软件加载器，名为 GuidLoader，能够在内存中解密和执行有效载荷。

REF7077 恶意软件时间线，来源：Elastic Security

进一步的分析表明，攻击者通过东南亚电信和互联网基础设施提供商的受感染端点，多次瞄准高价值目标。

此外，东南亚一所大学面向公众的存储系统被用来托管恶意软件负载，这表明之前存在入侵或供应链立足点。

技术报告：

https://www.elastic.co/security-labs/finaldraft

https://www.elastic.co/security-labs/fragile-web-ref7707

新闻链接：

https://www.bleepingcomputer.com/news/security/new-finaldraft-malware-abuses-outlook-mail-service-for-stealthy-comms/