В ноябре 2024 года охотники за угрозами обнаружили новую кампанию продвинутого кибершпионажа, направленную против министерства иностранных дел неназванной страны Южной Америки. Детали операции были раскрыты лабораторией безопасности Elastic, которая отслеживает эту угрозу как кластер REF7707. Среди целей атаки также оказались телекоммуникационная компания и университет в Юго-Восточной Азии, что подтверждает её обширный характер.
Используемые методы и вредоносные программы
Несмотря на высокую эффективность применяемых инструментов, владельцы кампании допустили управленческие ошибки. Атака использует валидные сетевые учетные данные для загрузки вредоносных программ через команды Microsoft. Основной вредоносной программой оказался PATHLOADER, представляющий собой средство для исполнения зашифрованного шеллкода. Этот шеллкод, в свою очередь, идентифицирован как FINALDRAFT — инструмент удаленного администрирования, позволяющий выполнять дополнительные модули и использовать сервис электронной почты Outlook для команд и контроля.
Меры безопасности и потенциальные угрозы
На фоне увеличивающейся угрозы кибершпионажа, возникла необходимость усиления мер безопасности, особенно в критически важных отраслях развивающихся стран. FINALDRAFT в сочетании с PATHLOADER представляет собой мощное средство, способное поставить под угрозу инфраструктуру, если оно окажется в ненадежных руках. Распространение программного обеспечения также отмечено на платформах Linux, что подчеркивает кросс-платформенность атак.
Необходимость действий
Сложность и всеобъемлющий характер инструментов FINALDRAFT и PATHLOADER предполагают, что за атакой стоят организованные группировки, преследующие шпионские цели. В условиях актуальной информационной безопасности, крайне важно принять меры по защите от таких атак: усовершенствовать мониторинг сетевой активности, вводить многофакторную аутентификацию и регулярно обновлять программные компоненты.
