MÜNCHEN (IT BOLTWISE) – Eine neue Malware-Kampagne, die auf das Außenministerium eines nicht genannten südamerikanischen Landes abzielt, hat die Aufmerksamkeit von Sicherheitsexperten auf sich gezogen. Die Malware, bekannt als FINALDRAFT, nutzt die Microsoft Graph API, um sowohl Windows- als auch Linux-Systeme zu infiltrieren und für Spionagezwecke zu missbrauchen.
Die jüngste Entdeckung einer Malware-Kampagne, die auf das Außenministerium eines nicht näher benannten südamerikanischen Landes abzielt, hat in der Sicherheitsbranche für Aufsehen gesorgt. Die Kampagne, die von Elastic Security Labs als REF7707 identifiziert wurde, nutzt maßgeschneiderte Malware, um infizierte Systeme fernzusteuern. Neben dem Außenministerium wurden auch eine Telekommunikationseinrichtung und eine Universität in Südostasien ins Visier genommen.
Die Malware-Kampagne, die im November 2024 entdeckt wurde, zeichnet sich durch eine gut entwickelte und hochleistungsfähige Intrusionssuite aus. Allerdings zeigten die Betreiber der Kampagne Schwächen im Management und inkonsistente Ausweichpraktiken, wie die Sicherheitsforscher Andrew Pease und Seth Goodwin in ihrer technischen Analyse feststellten.
Der genaue Vektor für den initialen Zugriff ist derzeit unklar, jedoch wurde beobachtet, dass die Anwendung ‘certutil’ von Microsoft genutzt wird, um zusätzliche Nutzlasten von einem mit dem Außenministerium verbundenen Webserver herunterzuladen. Diese Befehle werden über das Windows Remote Management’s Remote Shell Plugin (WinrsHost.exe) von einem unbekannten Quellsystem im Netzwerk ausgeführt.
Die Angreifer scheinen bereits über gültige Netzwerkzugangsdaten zu verfügen, die sie für laterale Bewegungen von einem zuvor kompromittierten Host im Netzwerk nutzen. Das erste ausgeführte Programm ist eine Malware namens PATHLOADER, die die Ausführung von verschlüsseltem Shellcode ermöglicht, der von einem externen Server empfangen wird. Dieser Shellcode, FINALDRAFT genannt, wird dann in den Speicher eines neu gestarteten ‘mspaint.exe’-Prozesses injiziert.
FINALDRAFT, in C++ geschrieben, ist ein voll ausgestattetes Remote-Administration-Tool, das in der Lage ist, zusätzliche Module dynamisch auszuführen und den Outlook-E-Mail-Dienst über die Microsoft Graph API für Command-and-Control-Zwecke zu missbrauchen. Die Kommunikation erfolgt durch das Parsen von Befehlen, die im Entwurfsordner des Postfachs gespeichert sind, und das Schreiben der Ausführungsergebnisse in neue Entwurfs-E-Mails für jeden Befehl.
Die Malware ist auch darauf ausgelegt, neue Prozesse mit gestohlenen NTLM-Hashes zu starten und PowerShell-Befehle auszuführen, ohne die ‘powershell.exe’-Binärdatei aufzurufen. Stattdessen werden mehrere APIs gepatcht, um das Event Tracing for Windows (ETW) zu umgehen, und PowerPick, ein legitimes Dienstprogramm aus dem Empire-Post-Exploitation-Toolkit, wird gestartet.
Hochgeladene ELF-Binärartefakte auf VirusTotal aus Brasilien und den USA deuten auf eine Linux-Variante von FINALDRAFT hin, die ähnliche C2-Funktionalitäten bietet. Die Linux-Version kann Shell-Befehle über popen ausführen und sich selbst vom System löschen.
Die Vollständigkeit der Werkzeuge und das Maß an Ingenieurskunst deuten darauf hin, dass die Entwickler gut organisiert sind. Die verlängerte Laufzeit der Operation und Beweise aus unserer Telemetrie legen nahe, dass es sich wahrscheinlich um eine auf Spionage ausgerichtete Kampagne handelt.
- NIEDLICHER BEGLEITER: Eilik ist der ideale Begleiter für Kinder und Erwachsene, die Haustiere, Spiele und intelligente Roboter lieben. Mit vielen Emotionen, Bewegungen und interaktiven Funktionen.
- Die besten Bücher rund um KI & Robotik!
- Die besten KI-News kostenlos per eMail erhalten!
- Zur Startseite von IT BOLTWISE® für aktuelle KI-News!
- Service Directory für AI Adult Services erkunden!
- IT BOLTWISE® kostenlos auf Patreon unterstützen!
- Aktuelle KI-Jobs auf StepStone finden und bewerben!
Stellenangebote
Data & AI Manager (m/f/d)
Senior AI & Automation Engineer (Lebensversicherung)*
Python Developer für KI-basierte Energie-Optimierung (m/w/d)
Technical Lead Data & AI (m/w/d)
- Die Zukunft von Mensch und MaschineIm neuen Buch des renommierten Zukunftsforschers und Technologie-Visionärs Ray Kurzweil wird eine faszinierende Vision der kommenden Jahre und Jahrzehnte entworfen – eine Welt, die von KI durchdrungen sein wird
- Künstliche Intelligenz: Expertenwissen gegen Hysterie Der renommierte Gehirnforscher, Psychiater und Bestseller-Autor Manfred Spitzer ist ein ausgewiesener Experte für neuronale Netze, auf denen KI aufbaut
- Obwohl Künstliche Intelligenz (KI) derzeit in aller Munde ist, setzen bislang nur wenige Unternehmen die Technologie wirklich erfolgreich ein
- Wie funktioniert Künstliche Intelligenz (KI) und gibt es Parallelen zum menschlichen Gehirn? Was sind die Gemeinsamkeiten von natürlicher und künstlicher Intelligenz, und was die Unterschiede? Ist das Gehirn nichts anderes als ein biologischer Computer? Was sind Neuronale Netze und wie kann der Begriff Deep Learning einfach erklärt werden?Seit der kognitiven Revolution Mitte des letzten Jahrhunderts sind KI und Hirnforschung eng miteinander verflochten
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "FINALDRAFT-Malware nutzt Microsoft Graph API für Spionage auf Windows und Linux" für unsere Leser?
#Sophos
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "FINALDRAFT-Malware nutzt Microsoft Graph API für Spionage auf Windows und Linux" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.
Nutze die deutsche Google-Suchmaschine für eine weitere Themenrecherche: »FINALDRAFT-Malware nutzt Microsoft Graph API für Spionage auf Windows und Linux« bei Google Deutschland suchen und bei Google News recherchieren!