Skip to main content
Szukaj
Logowanie
Dane logowania.
Nie masz konta? Załóż je tutaj.
Zarejestruj się
Zarejestruj się
Masz konto? Zaloguj się tutaj.
  1. Strona główna
  2. Cybernews
  3. Artykuł
Powrót

Nowe oprogramowanie szpieguje przez Outlooka

17 luty 2025

Nowe oprogramowanie szpieguje przez Outlooka
Leszczak Katarzyna

Leszczak Katarzyna

Złośliwe oprogramowanie FinalDraft wykorzystuje luki w programie Outlook do potajemnej komunikacji, atakując instytucje rządowe i narażając poufne dane na ryzyko.

Ustawa Kamilka

Nowe narzędzie cyberszpiegów ujawnione

W ostatnich tygodniach badacze z Elastic Security Labs ujawnili nowe narzędzie stosowane przez cyberprzestępców, które w sprytny sposób nadużywa usługi Outlook do prowadzenia ukrytej komunikacji w ramach ataków typu command-and-control. FinalDraft, bo tak nazwano to złośliwe oprogramowanie, zaatakowało już ministerstwo spraw zagranicznych jednego z krajów Ameryki Południowej, a śledztwo ujawnia powiązania z ofiarami w Azji Południowo-Wschodniej, co sugeruje szerzej zakrojoną operację cyberszpiegowską.

Jak działa FinalDraft?

Przebieg ataku rozpoczyna się od PathLoadera – niewielkiego programu wykonawczego, który instaluje FinalDraft na zaatakowanym systemie. PathLoader jest odpowiedzialny za uruchamianie kodu powłoki, jednocześnie utrudniając analizę statyczną poprzez zaawansowane techniki szyfrowania i haszowania. Po zainstalowaniu FinalDraft przystępuje do głównego zadania – eksfiltracji danych, wstrzykiwania procesów i zapewniania atakującym trwałego dostępu do systemu. Najbardziej niepokojący jest jednak sam sposób komunikacji tego złośliwego oprogramowania, który bazuje na wersjach roboczych wiadomości e-mail w Outlooku. Takie podejście pozwala na ukrycie ruchu sieciowego wśród codziennego użytkowania platformy Microsoft 365, znacznie utrudniając wykrycie zagrożenia.

Zakres zagrożenia i odpowiedź

FinalDraft uzyskuje token OAuth od firmy Microsoft, wykorzystując osadzony token odświeżania i przechowując go w rejestrze systemu Windows, co umożliwią atakującym długoterminowy dostęp do systemu. Następnie polecenia są przesyłane w wersjach roboczych (oznaczonych jako r_), a odpowiedzi powracają w nowych wersjach (p_), które są usuwane zaraz po wykonaniu, eliminując możliwość przeprowadzenia analizy kryminalistycznej. Elastic Security Labs zidentyfikowało również wersję FinalDraft dla systemu Linux, co pokazuje, że zagrożenie to nie ogranicza się do użytkowników Windows.

Kampania ataków, znana jako REF7707, została opisana w osobnym raporcie Elastic, ujawniając błędy operacyjne, które pozwoliły badaczom zidentyfikować atakujących pomimo zaawansowanego zestawu narzędzi. Zidentyfikowano również nowy program ładujący – GuidLoader, który potrafi odszyfrowywać i wykonywać ładunki bezpośrednio w pamięci, co czyni go niezwykle trudnym do wykrycia. Elastic Security Labs opublikowało reguły YARA, które mają pomóc w wykrywaniu FinalDraft i powiązanych z nim narzędzi, dając specjalistom ds. cyberbezpieczeństwa szansę na skuteczniejszą obronę przed tym zagrożeniem.

Studia Cyberbezpieczeństwo WSiZ

Sprawdź się!

Powiązane materiały

Zapisz się do newslettera

Bądź na bieżąco z najnowszymi informacjami na temat
cyberbezpieczeństwa



Zasady ochrony danych osobowych - polityka prywatności