[レポート]FINALDRAFTを解剖する：国家支援型マルチプラットフォーム・バックドアから得られる実用的なインテリジェンス - CODE BLUE 2025 #codeblue_jp #codeblue2025

こんにちは、臼田です。

みなさん、セキュリティ対策してますか？(挨拶

今回はCODE BLUE 2025で行われた以下のセッションのレポートです。

FINALDRAFTを解剖する：国家支援型マルチプラットフォーム・バックドアから得られる実用的なインテリジェンス

2025年2月より、南米の外国省を標的とし、その後東南アジアに拡大した、巧妙な国家支援型キャンペーンを追跡してきました。我々の調査により、特にMicrosoft Graph APIをC2に利用するモジュール式のクロスプラットフォームバックドアFINALDRAFTという、新しいマルウェアファミリーが発見されました。その巧妙さにもかかわらず、オペレーターは重要なOPSECエラーを犯し、インフラとリリース前のマルウェアを露呈させました。

マルウェアの進化、カスタムプロトコル、およびラテラルムーブメント、スクリプト実行、列挙のためのFINALDRAFTのモジュールに関する技術的洞察を提供します。2025年4月から6月にかけて、オープンソースツール、難読化、攻撃セキュリティツール、高度に難読化されたマルウェアの両方を利用した最近の活動が観測されており、キャンペーンは継続しています。

研究者、SOC、AVベンダー向けに調整されたこの講演は、実用的なインテリジェンスを提供し、このグループのTTPをカバーします。マルウェアと対話し、検出開発を支援するためのカスタムツールがリリースされます。

Speakers
Salim Bitam サリム・ビタム

レポート

• 現在Elasticでシニアリサーチエンジニア
• チームのElastic Securityラボの紹介
  • セキュリティの研究をしている
• アジェンダ
  • 発見した内容、被害者、攻撃者について
  • 攻撃フェーズの話
  • マルウェアのツール郡
  • PATHLOADER
  • FINALDRAFTについても
  • 人間について
  • 脅威アクターと検出
  • キャペーンの重なりについて
• 発見した内容、被害者、攻撃者について
  • この攻撃を2024年11月に発見
  • 2025年2月に記事を公開した
  • 南米の組織がターゲットだった
  • アジアも対象にしていた
  • 攻撃者は感染したすべてのマシンに独自開発のマルウェアを展開していた
  • FINALDRAFTと名付けたバックドアについて
    • この攻撃はファイルレス実行にあまり使われないLOLBinを使っている
    • 脆弱なOPSECを持っていた
  • 2022年に行ったGraph APIを使うマルウェアとの関連性を確認している
  • OPSec failureについてより明らかになった
    • 侵害後の活動を積極的に行っていた
  • タイムライン
    • 2022年半ばに2つのドメインが登録されている
    • 最初のPATHLOADERは2023年に見つけた
    • GLIDLOADERは2023年
    • 更に別のドメインも観測
    • FINALDRAFTは2024年末
  • 現在も調査を継続している
    • コードの難読化対応
    • 以前のマルウェア二みらっれなかったstackspoofingなど新たな手法も観測している
• 攻撃
  • 初期実行について
    • certutilを使ってファイルダウンロードをしてfontdrvhostをダウンロードしてインジェクション
    • FINALDRAFTがバックドアとして実行される
    • 多数のコマンドが実行される
    • WinrsHost.exeを活用して水平移行する
    • LOLBinを利用
    • fontdrvhostはCDB.exeだった
    • かなり珍しい
    • conig.iniを利用してシェルを実行可能内容に悪用されていた
    • mspaintやconhostに注入を行う
    • 接続確認はpingやPowerShellを使って行われる
  • Recon/enum
    • システム情報収集でレジストリ照会など
    • 最終的にデータを持ち出し
    • FINALDRAFTで持ち出しを行う
    • スケジュールタスクで実行される
• マルウェアについて
  • GUIDLOADER
    • 12個のサンプル
    • 未完成だった
  • PATHLOADER
    • FINALDRAFTを読み込むもの
  • 実行の流れ
    • 実行されるとシェルコードを取得
    • FINALDRAFTは複数の通信チャネルを通じて通信を行う
    • Graph APIを使って実行や通信を行って、リスナーの起動、C2転送、プロキシ転送が可能
    • PATHHASHモジュール、PowerShellモジュール、ネットワーク列挙モジュール等がある
  • PATHLOADERはPEファイル
    • 基本的なsandboxing
    • base64のblob
    • ネットワーク内で目立たないようにfortinetなどを偽っていた
    • anti sandboxのためsleep methodを使う
    • uriを使ってシェルコードをダウンロード
    • AES暗号化とbase64暗号化
  • FINALDRAFT
    • 非常に高度なバックドア
    • C++で記述され3つのモジュール
    • GraphAPIや複数のプロトコル対応
    • DLL形式で単一エントリポイントを採用
    • 設定はXORで暗号化
    • .data二ハードコードされている
    • 復号は暗号化blobから
    • 設定
      • 古いものも含めてサンプル間で設定が一貫している
      • pasetbinのurlを持っている
      • pasetbinから他の設定も観測
    • 情報収集
      • システム情報や正規サービスを通じてIPアドレスを取得
    • プロセス注入
      • ほぼ類似した注入コマンド
      • 共通のWindows APIを利用
    • プロキシトンネリング
      • 名前付きPipeなどを通して通信
      • TCP/UDPも
      • magic valueを送って通信確立
    • ファイル
      • 零埋めして復元防止
    • 通信プロトコル
      • 色々対応
      • Graph APIを使うのは興味深い
      • リフレッシュトークンが保存されている
      • いずれかのレジストリに保存する
      • ランタイムでセッションを作成する
      • 実行するコマンドはr_session-idとなっているイメージに書き込み
      • メールとする
      • ZlibでまとめてAESで暗号化
    • 注入
      • 様々な注入が可能
      • ipconfig.x64.dllなど
      • メモリに直接注入されsRDIでラップ
      • 名前付きPIPEで接続しパスワード確認する
      • Network enum
        • ipconfigコマンドを再現しようとする
      • PowerShell exec
        • PowerPictなど実行
      • Pass-the-Hash
        • 4つのモジュール利用
        • LogonSessionLisstとLogonSessionListCountを実行
      • Linux版
        • mimikatzに似ている
        • より多くのC2チャネルに対応
• 人間の要素
  • OPSecは甘い
  • アジアの被害者を確認できた
  • ツールキットの進化を理解するのに役立った
• 防御と検出
  • WindowsDebugger(CDB.exe)の起動を観測するといい
  • Psloader.x64.dllの読み込みを検出する
  • 攻撃者のCDB serverをエミュレートすることで挙動を観測できる
  • ルール開発やハンティングに役立つ
• キャンペーン
  • Trend Micro/Symantec/PaloAltoなどでも重複で確認されている

感想

MicrosoftのGraph APIを使うのは興味深いですね。いろんな挙動を理解する必要があります。ブログは日本語もありこちらを見ていただくのが良いですね。