Pesquisadores de segurança cibernética identificaram uma nova campanha de espionagem, utilizando o malware FINALDRAFT para acesso remoto a sistemas Windows e Linux. O ataque, direcionado ao Ministério das Relações Exteriores de um país sul-americano, se destaca pelo uso sofisticado da API do Microsoft Graph para comunicação e controle.
Grupo REF7707 por Trás dos Ataques
Especialistas apontam que a ofensiva foi iniciada em novembro de 2024 pelo grupo de ameaça avançada REF7707, conhecido por ataques a instituições governamentais, empresas de telecomunicações e universidades no Sudeste Asiático.
Apesar da sofisticação do ataque, os invasores demonstraram inconsistências na evasão e no gerenciamento da campanha, o que pode facilitar a detecção e mitigação da ameaça.
Como o FINALDRAFT Infecta os Sistemas?
🔹 Método de Infecção: O vetor inicial de comprometimento ainda não foi totalmente esclarecido, mas os atacantes exploraram a ferramenta certutil da Microsoft para baixar cargas maliciosas.
🔹 Movimentação Lateral: O uso do Remote Shell do Windows (WinrsHost.exe) sugere que os criminosos já possuíam credenciais de rede válidas, facilitando a expansão do ataque dentro das redes-alvo.
🔹 Execução do Malware: O ataque ocorre em duas fases:
- PATHLOADER – Decodifica e executa shellcodes recebidos remotamente.
- FINALDRAFT – Injetado na memória do processo mspaint.exe, permitindo execução furtiva.
Uso da API do Microsoft Graph para Comunicação
O diferencial do FINALDRAFT é seu método de comunicação inovador. O malware abusa da API do Microsoft Graph, especialmente do serviço de e-mail do Outlook, para armazenar e executar comandos sem chamar atenção.
🛑 Como Funciona?
✅ Comandos são armazenados em rascunhos de e-mail.
✅ Os resultados da execução são salvos em novas mensagens na mesma pasta.
✅ Método semelhante já foi observado no backdoor SIESTAGRAPH, usado por outros grupos de espionagem.
Como se Proteger do FINALDRAFT?
🔹 Monitorar atividades suspeitas no Microsoft Outlook.
🔹 Bloquear uso indevido da API do Microsoft Graph.
🔹 Restringir acesso ao Remote Shell do Windows (WinrsHost.exe).
🔹 Manter sistemas e softwares atualizados para mitigar vulnerabilidades.
O FINALDRAFT representa uma evolução nas táticas de espionagem cibernética, demonstrando como criminosos estão explorando ferramentas legítimas, como a API do Microsoft Graph, para evadir detecção e manter persistência nos sistemas. Empresas e governos precisam adotar medidas proativas para identificar e mitigar esse tipo de ameaça.
📢 O que você acha desse novo método de ataque? Sua empresa está preparada para esse tipo de ameaça? Comente abaixo! 🚀
