Tento nebezpečný nástroj je součástí širší hackerské kampaně s názvem REF7707, která cílí na vládní organizace v Jižní Americe a jihovýchodní Asii. Výzkumníci z Elastic Security Labs objevili nový toolkit využívaný touto kampaní. Mezi klíčové součásti útoku patří PathLoader (prvotní stahovač malwaru), FinalDraft (hlavní malware) a několik nástrojů pro post-exploataci.

Největší hrozbou tohoto útoku je jeho nenápadnost. Malware totiž nezanechává klasické stopy v systému a dokáže maskovat svoji činnost pomocí e-mailových konceptů. To umožňuje hackerům tajně získávat citlivé informace a zároveň jim poskytuje dlouhodobý přístup k napadeným systémům.

Jak malware funguje? Nenápadný, ale smrtící útok

Celý útok začíná infikováním zařízení oběti. Výzkumníci přesně nespecifikovali, jakým způsobem je malware doručen, ale nejpravděpodobnějšími metodami jsou:

• Phishingové e-maily – útočníci mohou posílat podvodné e-maily s infikovanými přílohami nebo odkazy na škodlivé stránky.
• Sociální inženýrství – manipulace oběti k tomu, aby si sama stáhla a spustila škodlivý soubor.
• Podvodné softwarové cracky – falešné verze placených programů, které obsahují skrytý malware.

Po infikování systému přichází ke slovu PathLoader, který stáhne hlavní malware FinalDraft. Ten vytvoří spojení s Microsoft Graph API, což je běžně používaná služba pro cloudovou komunikaci. Útok je geniálně maskovaný – místo klasických komunikačních kanálů malware ukládá příkazy do neodeslaných e-mailových konceptů v Outlooku.

Zdroj: Shutterstock

Tento trik umožňuje útočníkům:

• Nezanechávat podezřelé síťové stopy, protože komunikace probíhá přes legitimní Microsoft infrastrukturu.
• Získat neustálý přístup k systému díky uložení OAuth tokenu v registru Windows. Tento token se pravidelně obnovuje, což znamená, že i po restartu zařízení útočníci neztratí kontrolu.
• Provádět škodlivé operace, jako je exfiltrace dat, úprava souborů v systému, vytváření skrytých tunelů pro přenos dat nebo dokonce spouštění PowerShell skriptů pro další útoky.

Po provedení příkazů malware všechny důkazy smaže, což výrazně ztěžuje analýzu útoku.

Kdo je za útokem? Státní špionáž nebo zločinecké gangy?

Tento druh sofistikovaného útoku naznačuje, že za ním může stát některá státní hackerská skupina. Elastic Security Labs zatím neidentifikovali konkrétního pachatele, ale útoky směřují na vládní organizace, což často ukazuje na kybernetickou špionáž.

Napadené systémy byly nalezeny ve vládních institucích v Jižní Americe a jihovýchodní Asii, což naznačuje geopoliticky motivovaný útok. Není však vyloučeno, že za ním stojí některá z organizovaných kybernetických skupin, které prodávají ukradená data na černém trhu.