មេរោគថ្មីមួយដែលមានឈ្មោះថា Final Draft បាននឹងកំពុងប្រើប្រាស់សេចក្តីព្រាងអ៊ីម៉ែលរបស់ Outlook សម្រាប់ការទំនាក់ទំនងតាមបញ្ជា និងគ្រប់គ្រងក្នុងការវាយប្រហារប្រឆាំងនឹងក្រសួងនៅក្នុងប្រទេសអាមេរិកខាងត្បូង។
ការវាយប្រហារត្រូវបានរកឃើញដោយ Elastic Security Labs និងពឹងផ្អែកលើឧបករណ៍ពេញលេញដែលរួមបញ្ចូលកម្មវិធីផ្ទុកមេរោគផ្ទាល់ខ្លួន មានឈ្មោះថា PathLoader, FinalDraft Backdoor និង Tool សម្រាប់ស្វែងរកក្រោយការជ្រៀតចូល។ការបំពានលើ Outlook ក្នុងករណីនេះ មានគោលបំណងសម្រេចបានទំនាក់ទំនងសម្ងាត់ ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារធ្វើការទាញយកទិន្នន័យ ប្រើប្រាស់កម្មវិធី ដំណើរការចាក់បញ្ចូល និងសកម្មភាពដទៃទៀត ខណៈពេលដែលបន្សល់ដានតិចតួចបំផុត។
ខ្សែសង្វាក់នៃការវាយប្រហារ
ការវាយប្រហារចាប់ផ្តើមដោយអ្នកគំរាមកំហែងដែលសម្របសម្រួលប្រព័ន្ធរបស់អ្នកកំណត់គោលដៅជាមួយ Path Loader ដែលកម្មវិធីប្រតិបត្តិតូចមួយធ្វើប្រតិបត្តិ shellcode រួមទាំងមេរោគ Fina lDraft ដែលទាញយកពីហេដ្ឋារចនាសម្ព័ន្ធរបស់អ្នកវាយប្រហារ។Path Loader រួមបញ្ចូលការការពារប្រឆាំងនឹងការវិភាគដែលមិនប្រែប្រួលដោយអនុវត្ត API Hashing និងប្រើប្រាស់ការបំប្លែង (Encryption) អក្សរ។ Final Draft ត្រូវបានប្រើសម្រាប់ការស្រង់ទិន្នន័យ និងដំណើរការចាក់បញ្ចូល។ បន្ទាប់ពីផ្ទុកការកំណត់រចនាសម្ព័ន្ធ និងបង្កើតលេខសម្គាល់ថ្មី មេរោគបង្កើតទំនាក់ទំនងតាមរយៈ Microsoft Graph API ដោយផ្ញើ និងទទួលពាក្យបញ្ជាតាមរយៈអ៊ីម៉ែល Outlook ។
Final Draft ទាញយកសញ្ញាសម្ងាត់ OAuth ពី Microsoft ដោយប្រើ Token ថ្មីដែលបានបង្កប់នៅក្នុងការកំណត់មុខងាររបស់វា ហើយរក្សាទុកវានៅក្នុង Windows Registry សម្រាប់ការចូលប្រើប្រាស់ជាបន្តបន្ទាប់។ដោយប្រើប្រាស់សេចក្តីព្រាងរបស់ Outlook ជំនួសឱ្យការផ្ញើអ៊ីម៉ែល វាជៀសវាងការរកឃើញ និងបញ្ចូលទៅក្នុងចរាចរ Microsoft 365 ធម្មតា។
ពាក្យបញ្ជាពីអ្នកវាយប្រហារត្រូវបានលាក់ក្នុងសេចក្តីព្រាង (r_<session-id>) ហើយការឆ្លើយតបត្រូវបានរក្សាទុកក្នុងសេចក្តីព្រាងថ្មី (p_<session-id>)។ បន្ទាប់ពីការប្រតិបត្តិ សេចក្តីព្រាងពាក្យបញ្ជាត្រូវបានលុប ធ្វើឱ្យការវិភាគផ្នែកកោសល្យវិច្ច័យកាន់តែពិបាក ហើយការរកឃើញទំនងជាមិនអាចកើតឡើង។
Fina lDraft គាំទ្រពាក្យបញ្ជាសរុបចំនួន 37 ដែលសំខាន់បំផុតក្នុងចំណោមពួកគេគឺ៖
– ការច្រានចេញទិន្នន័យ (ឯកសារ, ឈ្មោះនិងលេខសម្ងាត់, ព័ត៌មានប្រព័ន្ធ)
– ដំណើរការចាក់ (ដំណើរការ Payloads ក្នុងដំណើរការស្របច្បាប់ដូចជា mspaint.exe)
-Pass-the-Hash វាយប្រហារ (លួចព័ត៌មានបញ្ជាក់អត្តសញ្ញាណសម្រាប់ចលនាក្រោយ)
– Proxying បណ្តាញ (បង្កើតផ្លូវបណ្តាញសម្ងាត់)
– ប្រតិបត្តិការឯកសារ (ចម្លង លុប ឬសរសេរជាន់លើឯកសារ)
– ការប្រតិបត្តិ PowerShell (ដោយមិនចាំបាច់បើកដំណើរការ powershell.exe)
Elastic Security Labs ក៏បានសង្កេតឃើញកំណែ Linux នៃ Final Draft ដែលនៅតែអាចប្រើ Outlook តាមរយៈ REST API និង Graph API ក៏ដូចជា HTTP/HTTPS, Reverse UDP & ICMP, bind/reverse TCP, និង DNS-based C2 exchange។
អ្នកស្រាវជ្រាវបង្ហាញយុទ្ធនាការវាយប្រហារ ដែលត្រូវបានគេហៅថា REF7707 នៅក្នុងរបាយការណ៍ដាច់ដោយឡែកមួយដែលពិពណ៌នាអំពីកំហុស opsec ជាច្រើនដែលផ្ទុយពីសំណុំការឈ្លានពានកម្រិតខ្ពស់ដែលបានប្រើ ហើយដែលនាំទៅដល់ការប្រឈមមុខរបស់អ្នកវាយប្រហារ។REF7707 គឺជាយុទ្ធនាការចារកម្មតាមអ៊ីនធឺណិតដែលផ្តោតលើក្រសួងការបរទេសអាមេរិកខាងត្បូង ប៉ុន្តែការវិភាគអំពីហេដ្ឋារចនាសម្ព័ន្ធបានបង្ហាឱ្យឃើញពីទំនាក់ទំនងទៅកាន់ជនរងគ្រោះនៅអាស៊ីអាគ្នេយ៍ ដែលបង្ហាញពីប្រតិបត្តិការដ៏ទូលំទូលាយ។
ការស៊ើបអង្កេតក៏បានរកឃើញកម្មវិធីផ្ទុកមេរោគដែលមិនមានឯកសារពីមុនមួយទៀតដែលប្រើក្នុងការវាយប្រហារ មានឈ្មោះថា Guid Loader ហើយមានសមត្ថភាព decrypt និងប្រតិបត្តិ payloads ក្នុងអង្គចងចាំ។ការវិភាគបន្ថែមបានបង្ហាញពីការកំណត់គោលដៅម្តងហើយម្តងទៀតរបស់អ្នកវាយប្រហារទៅលើស្ថាប័នអាទិភាពមួយចំនួន តាមរយៈចំណុចបញ្ចប់ដែលត្រូវបានសម្របសម្រួលនៅក្នុងទូរគមនាគមន៍ និងក្រុមហ៊ុនផ្តល់ហេដ្ឋារចនាសម្ព័ន្ធអ៊ីនធឺណិតនៅអាស៊ីអាគ្នេយ៍។លើសពីនេះ ប្រព័ន្ធផ្ទុកទិន្នន័យប្រឈមមុខទៅនឹងសាធារណៈរបស់សាកលវិទ្យាល័យអាស៊ីអាគ្នេយ៍ត្រូវបានប្រើប្រាស់ដើម្បីរៀបចំការផ្ទុកមេរោគ ដែលបង្ហាញពីការសម្របសម្រួលជាមុន ឬខ្សែសង្វាក់ផ្គត់ផ្គង់។ច្បាប់ YARA ដើម្បីជួយអ្នកការពាររកឃើញ Guid loader, Path Loader, និង Final Draft មាននៅខាងក្រោមនៃរបាយការណ៍របស់ Elastic [1, 2] ។
