Malware spioniert über Microsoft Graph API auf Windows und Linux
Eine neue, gezielte Spionagekampagne greift das Außenministerium eines südamerikanischen Landes sowie ein Telekommunikationsunternehmen und eine Universität in Südostasien an. Hinter den Angriffen steht die Hackergruppe REF7707, die Sicherheitsunternehmen bereits auf dem Radar haben.
Die Attacke, die im November 2024 entdeckt wurde, ist technisch hochentwickelt. Allerdings machten die Angreifer Fehler bei der Tarnung und im Kampagnenmanagement, so die Experten Andrew Pease und Seth Goodwin von den Elastic Security Labs.
Wie greifen die Hacker an?
Der genaue Einstiegspunkt ist noch unklar. Allerdings nutzen die Angreifer Microsofts „certutil“-Programm, um Schadsoftware von einem Server des Außenministeriums herunterzuladen. Diese Befehle wurden über die Windows-Remote-Management-Funktion (WinrsHost.exe) ausgeführt. Das bedeutet: Die Hacker hatten bereits Zugangsdaten für das Netzwerk und konnten sich von einem vorher infizierten Rechner weiterverbreiten.
Zwei Schadprogramme: PATHLOADER und FINALDRAFT
Die erste ausgeführte Malware heißt PATHLOADER. Sie lädt verschlüsselte Befehle von einem externen Server herunter und führt sie aus. Diese Befehle werden als sogenannter Shellcode in den Speicher eingeschleust. Um unentdeckt zu bleiben, wird der Schadcode in einen laufenden Prozess von „mspaint.exe“ eingeschoben.
Die eigentliche Haupt-Malware ist FINALDRAFT, ein leistungsfähiges Spionage-Tool, das in C++ geschrieben wurde. Die Malware kann zusätzliche Module nachladen, um verschiedene Befehle auszuführen. Besonders heimtückisch: FINALDRAFT nutzt die Microsoft Graph API, um über Outlook-E-Mails mit den Angreifern zu kommunizieren.
Wie funktioniert die Kommunikation?
- Die Hacker hinterlegen Befehle im Entwurfsordner eines E-Mail-Kontos.
- FINALDRAFT liest diese Befehle aus und führt sie auf dem infizierten Rechner aus.
- Die Ergebnisse werden als neue Entwürfe im Postfach gespeichert.
Diese Technik ist schwer zu erkennen, da der Datenverkehr wie normale E-Mail-Nutzung aussieht. Ihre Fähigkeiten sind beachtlich. Die Malware kann:
- Prozesse manipulieren und Schadcode in andere Programme einschleusen
- Dateien suchen, kopieren, ändern oder löschen
- Netzwerkverbindungen über einen Proxy umleiten
Tarnung und Umgehung von Sicherheitsmaßnahmen
FINALDRAFT tarnt seine Aktivitäten besonders gut. Die Malware
- umgeht Windows-Überwachung (ETW), indem sie wichtige Systemfunktionen (APIs) manipuliert.
- nutzt gestohlene Zugangsdaten (NTLM-Hashes), um mit hohen Rechten neue Prozesse zu starten.
- vermeidet die übliche „powershell.exe“-Datei und verwendet stattdessen das legitime ToolPowerPick aus dem Hacker-Werkzeug Empire, das speziell für unauffällige Angriffe entwickelt wurde.
Linux-Version von FINALDRAFT
Die Hacker haben auch eine Linux-Variante entwickelt. Diese wurde auf VirusTotal von Rechnern in Brasilien und den Vereinigten Staaten hochgeladen. Sie bietet ähnliche Spionagefunktionen wie die Windows-Version:
- Ausführen von Befehlen in der Kommandozeile („popen“).
- Selbstlöschung, um Spuren zu verwischen.
Fazit
Diese Kampagne gilt als besonders gefährlich, da die Angreifer gleichzeitig Windows- und Linux-Systeme ins Visier nehmen und dabei hochentwickelte Techniken einsetzen. Durch die Nutzung von Cloud-Diensten wie der Microsoft Graph API erfolgt die Kommunikation unauffällig und tarnt sich geschickt als gewöhnlicher Datenverkehr. Zusätzlich nutzt die Malware weitere Tarnmechanismen, die Sicherheitsüberwachungen umgehen und eine Erkennung erheblich erschweren. Diese Kombination aus Vielseitigkeit, ausgefeilter Technik und geschickter Verschleierung macht die Bedrohung besonders ernst.
Die langen Angriffswellen und die professionelle Technik zeigen, dass die Hacker gut organisiert sind. Das Ziel: Spionage, um sensible Informationen von Regierungen, Universitäten und Unternehmen zu stehlen. Die Experten vermuten, dass hinter dieser Kampagne ein staatlicher Akteur steckt.