Especialistas em segurança revelaram que o grupo REF7707 está por trás dessa ofensiva, iniciada em novembro de 2024, visando não apenas instituições governamentais, mas também entidades de telecomunicações e universidades no Sudeste Asiático. Apesar da sofisticação do ataque, os responsáveis demonstraram inconsistências na evasão e gerenciamento da campanha.
O vetor inicial de comprometimento ainda não foi totalmente esclarecido, mas sabe-se que os atacantes exploraram o aplicativo certutil da Microsoft para baixar cargas maliciosas de um servidor vinculado ao órgão diplomático. Os comandos foram executados via Remote Shell do Windows (WinrsHost.exe), sugerindo que os invasores já possuíam credenciais de rede válidas para movimentação lateral.
Funcionamento do FINALDRAFT
A primeira fase do ataque envolve a execução do malware PATHLOADER, responsável por decodificar e executar shellcodes recebidos remotamente. Em seguida, um código malicioso denominado FINALDRAFT é injetado na memória de um processo “mspaint.exe” recém-criado.
Desenvolvido em C++, o FINALDRAFT opera como uma ferramenta avançada de administração remota, capaz de executar módulos sob demanda. Ele se destaca por abusar do serviço de e-mail do Outlook via API do Microsoft Graph, estratégia anteriormente observada no backdoor SIESTAGRAPH. Essa abordagem permite que os comandos sejam armazenados em rascunhos de e-mail, enquanto os resultados são registrados em novas mensagens na mesma pasta.
Notícias Relacionadas
Steam remove
Steam remove demo maliciosa que espalhava malware no Windows
A Valve removeu da Steam a demo de Sniper: Phantom's Resolution, após denúncias de que o instalador continha malware que roubava informações dos usuários.
Segurança cibernética
Medusa ransomware utiliza driver malicioso para desativar anti-malware com certificados comprometidos
O ransomware Medusa emprega a técnica BYOVD para desativar sistemas de segurança usando um driver malicioso assinado com certificados roubados. O ataque compromete a proteção de endpoints, permitindo escalonamento de privilégios e exfiltração de dados.
O malware possui 37 comandos integrados para atividades como injeção de processos, manipulação de arquivos e uso de proxies de rede. Além disso, ele pode iniciar processos com hashes NTLM roubados e executar comandos PowerShell sem acionar o binário “powershell.exe”, dificultando sua detecção. Para evitar rastreamento no Windows, ele manipula APIs de eventos e utiliza o PowerPick, uma ferramenta legítima da estrutura Empire para pós-exploração.
Variante Linux e implicações
Pesquisadores também encontraram evidências de uma versão do FINALDRAFT para Linux, com funcionalidades C2 semelhantes. Essa variante executa comandos shell via popen e pode se autodeletar para evitar análise forense. Amostras do malware foram detectadas no VirusTotal, originadas do Brasil e dos Estados Unidos, reforçando sua disseminação global.
O nível avançado de engenharia envolvido no FINALDRAFT indica que seus desenvolvedores são altamente organizados. Além disso, a longa duração da campanha e sua sofisticação sugerem que se trata de uma operação voltada à espionagem, representando uma ameaça significativa para governos e organizações estratégicas.
