上海青羽电脑科技有限公司

新闻中心

——“因为我们的存在,让您的邮件系统更有价值!”

新闻中心

警惕:FINALDRAFT恶意软件利用Outlook草稿进行隐蔽通信

发布时间:2025-02-21  /  浏览次数:269次
最近调查中发现了一个新的恶意软件家族,该家族利用Microsoft Outlook草稿通过Microsoft Graph API作为隐蔽通信渠道。这个被命名为FINALDRAFT的后利用工具包包括一个加载器、一个后门以及多个为高级网络间谍活动设计的子模块。
 
Elastic团队发现了该恶意软件的Windows和Linux版本,证据表明其经过了长期开发和重大的工程努力。“工具的完整性和涉及的工程水平表明开发者组织严密,”Elastic Security Labs指出,并补充说,“行动的长时间跨度和我们的遥测数据表明,这很可能是一场以间谍活动为导向的运动。”
 
FINALDRAFT恶意软件通过PATHLOADER部署,PATHLOADER是一个轻量级的Windows PE可执行文件(206 KB),作为第一阶段加载器。它从攻击者控制的基础设施下载AES加密的shellcode,解密后在内存中执行。恶意软件通过API哈希、混淆和沙箱逃避技术避免静态分析。

Elastic Security Labs强调,PATHLOADER的嵌入式配置包括两个拼写错误的域名,模仿安全厂商:
  • poster.checkponit[.]com(模仿Check Point)
  • support.fortineat[.]com(模仿Fortinet)
这种欺骗性策略旨在逃避检测,并将恶意流量与合法的安全厂商活动混合。
 
FINALDRAFT是一个用C++编写的64位恶意软件,重点在于数据窃取和进程注入。它通过加载加密配置、生成会话ID并通过Outlook草稿与命令与控制(C2)服务器交互来运行。
 
“FINALDRAFT与C2通信使用的会话ID是通过创建一个随机GUID,然后使用Fowler-Noll-Vo(FNV)哈希函数处理生成的,”报告解释道。
 
FINALDRAFT的一个显著特点是能够利用Outlook的邮件草稿作为C2通道。恶意软件不是通过直接网络通信,而是:
  • 如果尚不存在,则创建一个会话草稿邮件。
  • 读取并删除由攻击者生成的命令请求草稿。
  • 执行命令,如进程注入、文件操作和网络代理。
  • 将响应写入草稿邮件,确保攻击者可以在不引发警报的情况下获取结果。
这种方法最大限度地减少了网络流量痕迹,使传统安全解决方案的检测难度显著增加。
 
FINALDRAFT包括37个命令处理器,允许其执行进程注入、TCP/UDP代理、文件操作和权限提升。值得注意的是,恶意软件的进程注入技术依赖于VirtualAllocEx、WriteProcessMemory和RtlCreateUserThread API调用。
 
“目标进程要么是作为命令参数提供的可执行路径,要么默认为mspaint.exe或conhost.exe作为备用,”报告指出。
 
除了Windows功能外,还发现了一个ELF版本的FINALDRAFT,支持多种超出Outlook草稿的C2传输协议,包括:
  • HTTP/HTTPS
  • 反向UDP
  • ICMP和绑定TCP
  • 反向TCP和DNS
这表明FINALDRAFT具有跨平台适应性,使其成为攻击者针对Windows和Linux环境的多功能工具。
 
Elastic Security Labs强烈怀疑FINALDRAFT是更大规模间谍活动的一部分。恶意软件的复杂设计、持久性技术和对隐蔽通信方法的依赖表明,其背后有一个资金充足且能力强大的对手。
 
安全研究人员敦促组织监控Outlook API活动,实施强大的终端检测解决方案,并阻止已知的C2域名,以降低风险。

来源网络,如有侵权请联系删除

一站式解决邮件收发与安全难题
靠谱工程师为您提供一对一的专业技术支持与服务
申请试用
400-602-8603
请您留言

感谢您的关注,当前客服人员不在线,请填写一下您的信息,我们会尽快和您联系。

提交