Notice: Function _load_textdomain_just_in_time was called incorrectly. Translation loading for the fast-indexing-api domain was triggered too early. This is usually an indicator for some code in the plugin or theme running too early. Translations should be loaded at the init action or later. Please see Debugging in WordPress for more information. (This message was added in version 6.7.0.) in /home/u166456357/domains/ictreview.com/public_html/wp-includes/functions.php on line 6114
Neue Malware FinalDraft bedroht Regierungsorganisationen in Südamerika und Südostasien - ictreview.com Neue Malware FinalDraft bedroht Regierungsorganisationen in Südamerika und Südostasien - ictreview.com

Neue Malware FinalDraft bedroht Regierungsorganisationen in Südamerika und Südostasien

Posted by:
Laura Hoffmann
Sicherheits-News
Do., 06 März
0 Comment
Feature image

Sicherheitsforscher entdecken neue Malware namens FinalDraft, die Befehle aus einem Entwurf einer E-Mail erhält

Cybersicherheitsforscher von Elastic Security Labs haben eine neue Malware entdeckt, die Entwürfe von E-Mail-Nachrichten in Outlook missbraucht, um Daten zu exfiltrieren, PowerShell auszuführen und mehr.Die Malware ist Teil eines breiteren Toolkits, das in einer Kampagne namens REF7707 eingesetzt wird, die Regierungsorganisationen in Südamerika und Südostasien ins Visier nimmt.Laut den Forschern umfasst das Toolkit einige Tools: einen Loader namens PathLoader, die Malware namens FinalDraft und mehrere Post-Exploitation-Tools.
Der Angriff setzt ein
Der Angriff beginnt damit, dass das Opfer irgendwie dem Loader ausgesetzt wird. Obwohl die Forscher nicht im Detail erklären, wie dies geschieht, ist es sicher anzunehmen, dass die üblichen Kanäle genutzt werden: Phishing, Social Engineering, gefälschte Risse in kommerzieller Software und ähnliches.Der Loader installiert FinalDraft, der einen Kommunikationskanal über die Microsoft Graph API herstellt. Dies geschieht durch den Einsatz von Entwürfen von Outlook-E-Mails. Anschließend ruft er ein OAuth-Token von Microsoft ab, indem er einen in seiner Konfiguration eingebetteten Auffrischungstoken verwendet. Es speichert dies in der Windows-Registrierung und ermöglicht Cyberkriminellen dauerhaften Zugriff auf das kompromittierte Endgerät.Die Malware ermöglicht den Angreifern, eine Vielzahl von Befehlen auszuführen, darunter das Exfiltrieren sensibler Daten, das Erstellen verdeckter Netzwerktunnel, das Manipulieren lokaler Dateien, das Ausführen von PowerShell und mehr. Nach Ausführung dieser Befehle löscht die Malware sie, was die Analyse erschwert.Die Forscher fanden die Malware auf einem Computer des Außenministeriums in Südamerika. Nach Analyse der Infrastruktur stellte Elastic jedoch Verbindungen zu Opfern in Südostasien fest. Die Kampagne zielt auf Windows- und Linux-Geräte ab.Der Angriff konnte nicht auf bekannte Bedrohungsakteure zurückgeführt werden, sodass nicht klar ist, ob es sich um eine staatlich unterstützte Aktion handelt. Angesichts des Ziels der Spionage ist jedoch von staatlichen Angriffen auszugehen. Eine detaillierte Analyse, einschließlich Erkennungsmechanismen, Eindämmungsmaßnahmen und YARA-Regeln, finden Sie unter diesem Link.

Tags:

0 0 votes
Article Rating
Abonnieren
Benachrichtige mich bei
guest

0 Comments
Oldest
Newest Most Voted
Inline Feedbacks
View all comments