FinalDraft Adlı Kötü Amaçlı Yazılım, Gizli İletişimler İçin Outlook Posta Hizmetini Kötüye Kullanıyor

Elastic Security Labs tarafından keşfedilen yeni bir kötü amaçlı yazılım olan FinalDraft, Outlook e-posta taslaklarını kullanarak Güney Amerika’daki bir bakanlığa yönelik siber saldırılar gerçekleştirdi. Bu saldırı, siber suçluların iletişimlerini gizlemek için Outlook’u nasıl kullandığını gözler önüne seriyor.

FinalDraft, Outlook’un taslak özelliğini kullanarak saldırganlarla iletişim kuruyor. Bu yöntem, e-posta göndermek yerine taslakları kullanarak normal Microsoft 365 trafiğine karışmayı ve tespit edilmeyi zorlaştırmayı amaçlıyor. Saldırganlar, komutlarını taslaklara gizliyor ve yanıtlarını yeni taslaklara kaydediyor. İşlem tamamlandıktan sonra taslaklar siliniyor, bu da saldırının izlerini siliyor ve analizi zorlaştırıyor.

Saldırı, PathLoader adlı özel bir kötü amaçlı yazılım yükleyicisi ile başlıyor. PathLoader, saldırganların altyapısından shellcode ve FinalDraft kötü amaçlı yazılımını indiriyor. FinalDraft, Microsoft Graph API üzerinden Outlook taslakları aracılığıyla iletişim kuruyor. Yazılım, yapılandırmasında bulunan bir yenileme token’ı kullanarak Microsoft’tan bir OAuth token’ı alıyor ve bunu Windows Kayıt Defteri’ne kaydederek kalıcı erişim sağlıyor.

FinalDraft, toplam 37 komutu destekliyor. En önemli özellikleri şunlar:

• Veri sızdırma: Dosyalar, kimlik bilgileri ve sistem bilgileri çalınabiliyor.
• Süreç enjeksiyonu: Meşru süreçlere (örneğin mspaint.exe) zararlı kod enjekte ediliyor.
• Ağ tünelleme: Gizli ağ tünelleri oluşturuluyor.
• Dosya işlemleri: Dosyalar kopyalanıyor, siliniyor veya üzerine yazılıyor.
• PowerShell komutları: powershell.exe başlatılmadan PowerShell komutları çalıştırılıyor.

FinalDraft’ın bir Linux sürümü de bulunuyor. Bu sürüm, Outlook’un REST API ve Graph API’sini kullanabildiği gibi HTTP/HTTPS, ters UDP ve ICMP gibi protokollerle de iletişim kurabiliyor. Araştırmacılar, saldırganların Güney Amerika’daki bir bakanlık dışında Güneydoğu Asya’daki kurumları da hedef aldığını tespit etti.

Elastic Security Labs, saldırganların operasyonel güvenlik hataları yaptığını ve bu hataların onları ortaya çıkardığını belirtiyor. Örneğin, Güneydoğu Asya’daki bir üniversitenin depolama sistemi, kötü amaçlı yazılım yüklemeleri için kullanılmış. Bu durum, saldırganların önceden bu sistemi ele geçirdiğini veya bir tedarik zinciri zaafiyetinden yararlandığını gösteriyor.

Elastic Security Labs, GuidLoader, PathLoader ve FinalDraft’ı tespit etmek için YARA kurallarını yayınladı. Bu kurallar, savunma ekiplerinin saldırıları önlemesine yardımcı olabilir.