37 команд для атаки: что скрывает новый бэкдор FINALDRAFT

Исследователи Elastic Security Labs обнаружили новую кибератаку, в ходе которой хакеры использовали мощный бэкдор FINALDRAFT. Целью атакующих стало внешнеполитическое ведомство одной из стран Южной Америки, а также телекоммуникационная компания и университет в Юго-Восточной Азии.

FINALDRAFT — это продвинутый инструмент удалённого управления, написанный на C++. Он способен загружать дополнительные модули, выполнять команды и использовать Microsoft Graph API для скрытого управления через черновики почтового сервиса Outlook. Этот метод ранее применялся в другом вредоносном ПО — SIESTAGRAPH.

Атакующие использовали утилиту certutil для загрузки файлов с сервера, связанного с внешнеполитическим ведомством. Команды certutil исполнялись через Windows Remote Management (WinrsHost.exe), что указывает на наличие у злоумышленников украденных учётных данных и доступ к внутренней сети.

Запуск атаки осуществлялся через троянец PATHLOADER, который загружал зашифрованный шелл-код, а затем внедрял его в память процесса «mspaint.exe». Этот код активировал FINALDRAFT, позволяя хакерам управлять заражёнными системами.

Бэкдор поддерживает 37 команд, среди которых управление файлами, внедрение в процессы и создание сетевых прокси. Он также умеет запускать процессы с украденными NTLM-хешами и исполнять PowerShell-команды, обходя встроенные механизмы контроля Windows. Для этого FINALDRAFT использует PowerPick — компонент набора инструментов Empire.

Кроме Windows-версии, обнаружен вариант FINALDRAFT для Linux, загруженный в VirusTotal пользователями из Бразилии и США. Эта версия поддерживает аналогичный функционал, позволяя выполнять команды через popen и скрывать следы своего присутствия.

Анализ показывает, что атака была тщательно подготовлена. Высокий уровень инженерии вредоносного ПО свидетельствует о профессиональной организации разработчиков. Однако ошибки в управлении кампанией и слабые меры сокрытия говорят о спешке или недостаточном контроле со стороны операторов.

Продолжительная активность группировки REF7707 и сложность её инструментов указывают на разведывательную направленность операции. На фоне этих атак эксперты подчёркивают необходимость усиления кибербезопасности, особенно в организациях, работающих с конфиденциальной информацией, а также важность постоянного мониторинга и анализа угроз для предотвращения подобных инцидентов в будущем.