FINALDRAFT malware verbergt zich in drafts
Tijdens een recent onderzoek (REF7707) heeft Elastic Security Labs, de onderzoeksafdeling van het Search AI-bedrijf Elastic, nieuwe malware ontdekt die zich verbergt in Microsofts Graph API gericht op data-exfiltratie en proces injectie. De telemetrie suggereert spionagewerk gekoppeld aan China. De malware bevat een custom loader en backdoor met veel functies, waaronder het gebruik van Microsoft's Graph API voor C2-communicatie.
Tijdens het onderzoek naar REF7707 ontdekte Elastic Security Labs een nieuwe familie van voorheen onbekende malware die Outlook gebruikt als communicatiekanaal via de Microsoft Graph API. Deze post-exploitation kit bevat een loader, een backdoor en meerdere submodules die geavanceerde post-exploitation activiteiten mogelijk maken.
De analyse van Elastic Security Labs laat een Linux-variant en een oudere PE-variant van de malware zien. Elk hebben ze verschillende versies, wat erop wijst dat deze tools al enige tijd in ontwikkeling zijn. De volledigheid van de tools en het niveau van engineering suggereren dat de ontwikkelaars goed georganiseerd zijn.
Het lange tijdsbestek van de operatie en het bewijs van onze telemetrie duiden erop dat het waarschijnlijk om een spionage-gerelateerde campagne gaat.
Dutch IT events
Alle events
Meer over cybercrime
Over Witold Kepinski
