【安全资讯】新型FinalDraft恶意软件利用Outlook邮件服务进行隐秘通信

概要：

新型恶意软件FinalDraft通过利用Outlook邮件草稿进行指挥与控制通信，针对南美洲某国的一个政府部门展开攻击。这一事件由Elastic Security Labs发现，显示出网络攻击者在隐秘通信和数据窃取方面的高超技艺，突显了当前网络安全威胁的复杂性。

主要内容：

FinalDraft恶意软件的攻击链始于攻击者使用PathLoader工具，成功入侵目标系统。PathLoader是一个小型可执行文件，能够执行从攻击者基础设施中获取的shellcode，包括FinalDraft恶意软件。它通过API哈希和字符串加密等手段，增强了对静态分析的抵抗力。

一旦FinalDraft被加载，它便开始进行数据窃取和进程注入。该恶意软件通过Microsoft Graph API与攻击者进行通信，利用Outlook邮件草稿发送和接收命令，避免了传统邮件发送的检测风险。攻击者的命令被隐藏在草稿中，而响应则存储在新的草稿中，执行后草稿命令会被删除，从而增加了取证难度。

FinalDraft支持多达37个命令，主要包括数据窃取、进程注入、Pass-the-Hash攻击、网络代理等。Elastic Security Labs还发现了FinalDraft的Linux变种，能够通过REST API和Graph API进行操作，显示出其灵活性和适应性。

此次攻击活动被称为REF7707，主要针对南美洲的外交部门，但分析显示其基础设施与东南亚的受害者存在关联，暗示着更广泛的网络间谍活动。