Təhlükəsizlik tədqiqatçıları yeni “FinalDraft” adlı bir kötü proqramın gününü almışdır. Bu proqram bir məktubdan əmr alır və məlumatları çıxarmaq, PowerShell icra etmək və daha çoxunu tətbiq edir.

Elastik Təhlükəsizlik Laboratoriyalarından siber təhlükəsizlik tədqiqatçıları, Outlook’da mövzuya aid e-poçt mesajlarını məlumatların köçürülməsi, PowerShell icrası və daha çoxu üçün istifadə edən yeni bir kötü proqram aşkar etmişdir. Kötü proqram REF7707 adlı bir kampaniyanın bir hissəsidir. Bu kampaniya Cənub Amerikasında və Cənubi Şərq Asiyada ölkələrin hökumət təşkilatlarına hücum edir. Tədqiqatçılara görə, bu kampaniya çoxsaylı alətlərdən ibarətdir: PathLoader adlı bir yükləyici, FinalDraft adlı kötü proqram və bir neçə son işgala əlavə olunmuş vasitələr.

Sürətlənir
Hücum qurbanının yükdləyici ilə əlaqə qurulması ilə başlayır. Tədqiqatçılar bunun necə baş verdiyini təsvir etməsələr də, phishing, cəmiyyət mühəndisliyi, kommersiya proqramları üçün əlilların dediyi yolların istifadə olunduğunu göstərmək təhlükəsizdir. Yükləyici FinalDraft-u quraşdırır və Microsoft Graph API vasitəsilə bir əlaqə nöqtəsi təyin edir. Bunu Outlook e-poçt qaralarından istifadə edərək edir. Microsoftdan bir OAuth nişanını qəbul edir və onu konfiqurasiyasında yerləşdirilmiş bir təzələmə nişanını istifadə edir. O, Windows Rejistrində saxlayır və beləliklə cyber-kriminalar kompromet edilmiş nöqtəyə daimi girişə ehtiyac duyurlar. Kötü proqram hücumçulara məlumatların köçürülməsi, gizli şəbəkə tunellərinin yaradılması, yerli fayllara toxunulması, PowerShell icrası və daha çoxu kimi bir sıra əmrləri yerinə yetirmək imkanı verir. Bu əmrləri yerinə yetirdikdən sonra, kötü proqram onları silir, bu da təhlilini daha da çətinləşdirir.

Tədqiqatçılar kötü proqramı Cənub Amerikada bir xarici nazirliyə məxsus bir kompüterdə tapmışdırlar. Ancaq Elastic infrastrukturunu təhlil etdikdə Cənubi Şərq Asiyada qurbanlarla əlaqəli bağlantılar görmüşdür. Kampaniya hücumları Windows və Linux cihazlarına hücum edir. Hücum heç bir tanınmış təhlükə faktoru ilə əlaqəlendirilmir, beləliklə bu dövlət tərəfindən sponsorluq edilmiş bir oyun olub olmadığını bilmirik. Ancaq məqsədin casusluk olduğu göz önündə tutulduğunda, dövlət tərəfindən olan hücumlar mümkündür. Daha ətraflı analiz, aşkar edilmə mekanizmləri, qarşısı alma və YARA qaydaları kimi məlumatlar bu keçidlə əldə edilə bilər.

Sizə maraqlı ola bilər
Təhlükəli Microsoft Outlook səhvi ifşa olunub, hakerlərə email vasitəsilə proqram göndərməyə imkan verə bilərBiz ən yaxşı şifrə menecerlərini topladıqƏn yaxınınıza ən yaxşı autentikator tətbiqinin təcrübəsini dərinləşdirin.