Mã độc mới mang tên FINALDRAFT nhắm vào người dùng Outlook
Mở đầu
Các nhà nghiên cứu đến từ Elastic Security Labs gần đây đã điều tra và phát hiện ra một loại mã độc mới nhắm tới các chính phủ. Loại mã độc này chứa một loader và backdoor với các tính năng như là sử dụng Microsoft Graph API để kết nối tới các máy chủ C2, cho phép điều khiển các máy chủ bị lây nhiễm… Mã độc này có tên là FINALDRAFT.
Điều tra và nghiên cứu
Đầu tiên, một file Windows PE là PATHLOADER có kích thước rất nhỏ chỉ 206kb được thực thi trên máy nạn nhân. Bên trong file này có chứa các thiết lập bao gồm thông tin máy chủ C2 được mã hóa Base64 và khi giải mã là:
https://poster.checkponit.com:443/nzoMeFYgvjyXK3P;https://support.fortineat.com:443/nzoMeFYgvjyXK3P;*|*
Có thể thấy rằng 2 tên miền này đã bị typosquatting để đánh lừa rằng đây là 2 tên miền của công ty bảo mật lớn là Checkpoint và Fortinet. File PATHLOADER này còn sử dụng các kỹ thuật API Hashing, String obfuscation để ngăn các nhà điều tra thực hiện phân tích. Khi PATHLOADER được thực thi nó sẽ kết nối tới máy chủ C2 và thực hiện tải về và thực thi một shellcode đã được mã hóa AES và Base64. Shellcode này có mục đích là để tải về mã độc FINALDRAFT.
FINALDRAFT là mã độc 64-bit được viết bằng C++ tập trung vào trích xuất dữ liệu và chèn tiến trình. Khi mã độc này được chạy, nó có một số phương thức giao giao tiếp khác nhau. Trong số đó có lạm dụng dịch vụ mail của Outlook thông qua Microsoft Graph API, tương tự như kỹ thuật phát hiện được trong một chiến dịch trước đó vào năm 2023 sử dụng SIESTAGRAPH cũng được nghiên cứu bởi Elastic Security Labs. Microsoft Graph API token thu được bởi FINALDRAFT sử dụng https://login.microsoftonline.com/common/oauth2/token. Token làm mới sử được sử dụng nằm ở trong phần thiết lập.
Sau khi token được làm mới thì sẽ được lưu vào trong Registry dựa trên người dùng có quyền Administrator không:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UUID\<uuid_from_configuration>
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UUID\<uuid_from_configuration>
Sau đó, mã độc sẽ thực hiện:
Tạo một phiên bản nháp email nếu chưa tồn tại
Đọc và xóa bản nháp email yêu cầu lệnh thực thi được tạo bởi máy chủ C2
Thực thi lệnh
Viết email phản hồi lệnh dưới dạng bản nháp cho từng lệnh được thực thi
Lặp lại các bước trên
FINALDRAFT có khoảng 37 trình xử lý lệnh, đa số có tính năng truyền tiến trình, thao tác với file và khả năng thao tác proxy mạng. Mã độc này còn có chức năng thu thập thông tin máy người dùng bao gồm tên máy tính, tên username, địa chỉ IP nội bộ và public và thông tin các tiến trình đang chạy. Thông tin địa chỉ IP public sẽ được mã độc thu thập thông qua các dịch vụ tra cứu IP:
hxxps://ip-api.io/json
hxxps://ipinfo.io/json
hxxps://myexternalip.com/raw
hxxps://ipapi.co/json/
hxxps://jsonip.com/
Ngoài ra với tính năng chèn tiến trình, mã độc có thể chèn vào tiến trình đang chạy hoặc tạo một tiến trình ẩn để chèn vào trong đó, tùy thuộc vào tham số trong câu lệnh. Các tiến trình đang chạy có thể là mspaint.exe, conhost.exe… hoặc tạo một Windows named pipe có chức năng ghi, đọc, tạo bản nháp email trên Outlook và gửi dữ liệu tới máy chủ C2.
FINALDRAFT có một vài phương thức để kết nối tới máy chủ C2, bao gồm named pipe, TCP và UDP listener. Trước khi tạo một máy chủ TCP listener, mã độc sẽ thêm một rule vào trong Windows Firewall và sẽ loại bỏ rule này khi máy bị tắt, sử dụng COM, INetFwPolicy2 và INetFwRule. Mã độc này sẽ nếu thiết lập kết nối TCP, nó sẽ gửi một magic value “\x12\x34\xab\xcd\ff\xff\xcd\xab\x34\x12“ và chờ nhận được phản hồi giá trị tương tự để bắt đầu gửi dữ liệu.
Mã độc còn có tính năng chèn các module như ipconfig.x64.dll (Thăm dò mạng), Psloader.x64.dll (thực thi câu lệnh PowerShell), pnt.x64.dll (Pass-the-Hash toolkit, sử dụng để đánh cắp NTLM hash).
Một số biến thể ELF của FINALDRAFT còn có một số kênh giao tiếp tới máy chủ C2 thông qua các giao thức như HTTP/HTTPS, Reverse UDP, ICMP, Bind TCP, Reverse TCP, DNS, Outlook thông qua REST API và Graph API. Các máy chủ được đặt tên đã bị typosquatting của các hãng nổi tiếng như VMSphere, thông tin máy chủ C2 như sau:
support.vmphere.com
update.hobiter.com
Ngoài ra phiên bản này còn có khả năng thực thi câu lệnh thông qua popen và có khả năng tự xóa chính nó.
Khuyến nghị
Các nhà nghiên cứu của Elastic Defend Labs cũng như FPT Threat Intelligence đưa ra các khuyến nghị sau:
Có các biện pháp giám sát để nhanh chóng phát hiện cuộc tấn công từ mã độc.
Có các rule phát hiện các dấu hiệu hoạt động bất thường như kỹ thuật chèn tiến trình, thực thi shellcode, chèn các module của mã độc vào các tiến trình thông thường.
Cập nhật các IOC trong phần dưới đây để ngăn chặn kịp thời.
IOC
| PATHLOADER | SHA256 | 9a11d6fcf76583f7f70ff55297fb550fed774b61f35ee2edd95cf6f959853bcf |
| FINALDRAFT sample | SHA256 | 39e85de1b1121dc38a33eca97c41dbd9210124162c6d669d28480c833e059530 |
| FINALDRAFT ELF variant | SHA256 | 83406905710e52f6af35b4b3c27549a12c28a628c492429d3a411fdb2d28cc8c |
| Domain | poster.checkponit[.]com | |
| Domain | support.fortineat[.]com | |
| Domain | support.vmphere[.]com | |
| Domain | update.hobiter[.]com |
