Elastic ekspertai atskleidžia visas pažangaus kibernetinio ginklo funkcijas.
„Elastic Security Labs“ tyrėjai aptiko naują kibernetinę ataką, kurios metu įsilaužėliai naudojo galingą ‘FINALDRAFT’ backdoor. Užpuolikai taikėsi į Pietų Amerikos šalies užsienio politikos agentūrą, taip pat telekomunikacijų bendrovę ir universitetą Pietryčių Azijoje.
FINALDRAFT yra pažangi nuotolinio valdymo priemonė, parašyta C++ kalba. Ji gali įkelti papildomus modulius, vykdyti komandas ir, naudodama „Microsoft Graph API“, slapta valdyti per „Outlook“ el. pašto paslaugų projektus. Šis metodas anksčiau naudotas kitoje kenkėjiškoje programoje SIESTAGRAPH.
Užpuolikai naudojo „certutil“ įrankį, kad atsisiųstų failus iš serverio, susijusio su užsienio politikos agentūra. Certutil„ komandos buvo vykdomos per ‚Windows Remote Management‘ (“WinrsHost.exe”), o tai rodo, kad užpuolikai turėjo pavogtus įgaliojimus ir prieigą prie vidinio tinklo.
Ataka buvo įvykdyta per PATHLOADER Trojos arklį, kuris atsisiuntė užšifruotą apvalkalo kodą, o tada įterpė jį į proceso „mspaint.exe“ atmintį. Šis kodas suaktyvino „FINALDRAFT“, todėl įsilaužėliai galėjo valdyti užkrėstas sistemas.
Backdoor palaiko 37 komandas, įskaitant failų valdymą, injektavimą į procesus ir tinklo tarpinių serverių kūrimą. Jis taip pat gali paleisti procesus su pavogtais NTLM hash ir vykdyti „PowerShell“ komandas, apeidamas „Windows“ integruotas kontrolės priemones. FINALDRAFT tam naudoja „PowerPick“, „Empire“ priemonių rinkinio komponentą.
Be „Windows“ versijos, buvo rastas „Linux“ FINALDRAFT variantas, kurį į „VirusTotal“ įkėlė vartotojai iš Brazilijos ir Jungtinių Valstijų. Ši versija palaiko panašias funkcijas, leidžia vykdyti komandas per popen ir paslepia savo buvimo pėdsakus.
Analizė rodo, kad ataka buvo kruopščiai parengta. Aukštas kenkėjiškų programų inžinerijos lygis rodo profesionalų kūrėjų organizuotumą. Tačiau kampanijos valdymo klaidos ir silpnos slėpimo priemonės rodo operatorių skubėjimą arba nepakankamą kontrolę.
Ilgalaikis grupės REF7707 aktyvumas ir jos priemonių sudėtingumas rodo, kad operacija buvo vykdoma žvalgybos pagrindu. Šių išpuolių fone ekspertai pabrėžia, kad būtina stiprinti kibernetinį saugumą, ypač organizacijose, dirbančiose su neskelbtina informacija, taip pat nuolatinės stebėsenos ir grėsmių analizės svarbą, siekiant užkirsti kelią panašiems incidentams ateityje.