FinalDraft: новая сложная угроза, использующая сервисы Microsoft для скрытного шпионажа

В мире кибербезопасности обнаружен высокоскрытный вредоносный код под названием FinalDraft, который представляет собой серьёзную угрозу для организаций по всему миру. Эта многофункциональная программа-шпион разработана для тайного длительного наблюдения и мастерски маскирует свою активность под легиматное использование облачных сервисов Microsoft, что значительно затрудняет её обнаружение традиционными системами защиты.

Описание

FinalDraft является кроссплатформенным вредоносным ПО, способным заражать как системы Windows, так и Linux. Его главной отличительной чертой является уникальный механизм взаимодействия с командными серверами (C2). Вместо прямых сетевых подключений, которые могут быть легко заблокированы межсетевыми экранами или обнаружены системами обнаружения вторжений (IDS), FinalDraft использует папку «Черновики» в Microsoft Outlook. Злоумышленники оставляют в ней зашифрованные сообщения, которые затем считываются вредоносной программой на заражённом устройстве. Таким образом, обмен командами и похищенными данными происходит практически незаметно, не вызывая типичных оповещений о подозрительной сетевой активности.

Целями атак с использованием FinalDraft становятся организации из критически важных секторов экономики и государственного управления. Под прицелом оказываются государственные учреждения, компании телекоммуникационного и финансового секторов, а также организации из сфер образования и здравоохранения. География атак, охватывающая Южную Америку, Юго-Восточную Азию и другие регионы, указывает на то, что за ними могут стоять хорошо финансируемые группы угроз, возможно, связанные с национальными государствами (APT-группы).

Процесс заражения начинается с использования загрузчика PathLoader, который расшифровывает и исполняет шелл-код, активирующий основную вредоносную нагрузку - бэкдор FinalDraft. Для аутентификации и связи бэкдор задействует Microsoft Graph API, что позволяет ему органично встраивать свою деятельность в поток легитимного трафика облачных сервисов Microsoft. FinalDraft поддерживает обширный набор из 37 команд, предоставляя злоумышленникам широкие возможности: от кража файлов и внедрения в процессы до выполнения команд PowerShell без непосредственного запуска исполняемого файла powershell.exe, что является продвинутой техникой уклонения от обнаружения.

С точки зрения тактик, применяемых злоумышленниками (согласно модели MITRE ATT&CK), FinalDraft демонстрирует высокий уровень изощрённости. Среди ключевых техник - использование нативного API (T1106), внедрение в процессы (T1055), выполнение скриптов (T1059), применение нестандартных протоколов (T1095), противодействие анализам в песочнице (T1497) и манипуляция токенами доступа (T1134).

Для защиты от подобных угроз необходим многоуровневый подход. К мерам по снижению риска относятся активация правил сокращения поверхности атаки (ASR), использование политик контроля приложений, таких как AppLocker, постоянный мониторинг активности в папке «Черновики» Outlook на предмет аномальных шаблонов, сегментация сетей и ограничение исходящего доступа. Для обнаружения и реагирования критически важно отслеживать подозрительное поведение при использовании API Outlook и PowerShell, аномальное создание процессов, а в случае подозрения на заражение - немедленно изолировать затронутые хосты и проводить тщательный анализ реестра и памяти на предмет артефактов.

Платформы киберразведки, такие как SOCRadar, играют важную роль в усилении обороноспособности, предоставляя актуальные данные об угрозах, мониторинг упоминаний в Dark Web, обогащение индикаторов компрометации (IoC) и интеграцию с системами SIEM/SOAR для оперативного реагирования.

FinalDraft олицетворяет современный тренд на создание скрытных и сложных угроз, максимально использующих легитимные сервисы. Успешное противодействие им требует от организаций proactive подхода, включающего актуальную threat intelligence, расширенные возможности мониторинга и отлаженные планы реагирования на инциденты. Только комплексная защита позволяет выявлять и нейтрализовывать такие угрозы до того, как они нанесут существенный ущерб.