Los cazadores de amenazas han arrojado luz sobre una nueva campaña dirigida al Ministerio de Relaciones Exteriores de una nación sudamericana sin nombre con malware a medida capaz de otorgar acceso remoto a anfitriones infectados.
La actividad, detectada en noviembre de 2024, ha sido atribuida por Elastic Security Labs a un clúster de amenazas que rastrea como Ref7707. Algunos de los otros objetivos incluyen una entidad de telecomunicaciones y una universidad, ambos ubicados en el sudeste asiático.
«Si bien la campaña Ref7707 se caracteriza por un juego de intrusiones novedoso bien diseñado, altamente capaz y altamente capaz, los propietarios de la campaña exhibieron una mala gestión de campañas y prácticas de evasión inconsistentes», dijeron los investigadores de seguridad Andrew Pease y Seth Goodwin en un análisis técnico.
El vector de acceso inicial exacto utilizado en los ataques no está claro actualmente, aunque se ha observado que la aplicación Certutil de Microsoft se usa para descargar cargas útiles adicionales de un servidor web asociado con el Ministerio de Relaciones Exteriores.
Se ha encontrado que los comandos CertUtil utilizados para recuperar los archivos sospechosos se ejecutan a través del complemento de shell remoto de Windows Remote Management (WinRshost.exe) desde un sistema de origen desconocido en una red conectada.
«Indica que los atacantes ya poseían credenciales de red válidas y las usaban para el movimiento lateral de un huésped previamente comprometido en el entorno», señalaron los investigadores.
El primero de los archivos que se ejecutará es un malware llamado Pathloader que permite la ejecución de ShellCode cifrado recibido de un servidor externo. El código de carcasa extraído, denominado FinalDraft, se inyecta posteriormente en la memoria de un proceso «msPaint.exe» recientemente designado.
Escrito en C ++, FinalDraft es una herramienta de administración remota completa que viene equipada con capacidades para ejecutar módulos adicionales sobre la mosca y abusa del servicio de correo electrónico de Outlook a través de la API de Microsoft Graph para fines de comando y control (C2). Vale la pena señalar que el abuso de la API del gráfico se ha detectado previamente en otra puerta trasera llamada Siestagraph.
El mecanismo de comunicación implica analizar los comandos almacenados en la carpeta de borradores del buzón y escribir los resultados de la ejecución en nuevos correos electrónicos de borrador para cada comando. FinalDraft registra 37 manejadores de comando que están diseñados en torno a la inyección del proceso, la manipulación de archivos y las capacidades de proxy de red.
También está diseñado para iniciar nuevos procesos con hashes robados y ejecutar los comandos de PowerShell de manera tal que no invoca el binario «PowerShell.exe». En su lugar, parche varias API para evadir el rastreo de eventos para Windows (ETW) y lanza PowerPick, una utilidad legítima que forma parte del Kit de herramientas del Imperio después de la explotación.
Los artefactos binarios ELF cargados a Virustotal desde Brasil y los Estados Unidos indican la presencia de una variante de Linux de la trampa final que presenta una funcionalidad C2 similar. La versión de Linux, por su parte, puede ejecutar comandos de shell a través de Popen y eliminarse del sistema.
«La integridad de las herramientas y el nivel de ingeniería involucrado sugieren que los desarrolladores están bien organizados», dijeron los investigadores. «El marco de tiempo extendido de la operación y la evidencia de nuestra telemetría sugieren que probablemente sea una campaña orientada al espionaje».