شکارچیان تهدید، کمپین جدیدی را مشاهده کردهاند که سازمانهای دولتی به ویژه در آمریکای جنوبی را با استفاده از خانواده بدافزارهای جدید که قادر به دسترسی از راه دور به میزبانهای آلوده است، هدف قرار داده است.
این فعالیت که در نوامبر 2024 شناسایی شد، توسط Elastic Security Labs به گروه تهدیدی که با نام REF7707 نسبت داده شده است. برخی از اهداف دیگر شامل یک نهاد مخابراتی و یک دانشگاه است که هر دو در جنوب شرقی آسیا واقع شده اند. بر اساس مشاهدات، برنامه certutil مایکروسافت برای دانلود پیلودهای اضافی از وب سرور استفاده میشود. دستورات certutil مورد استفاده برای بازیابی فایلهای مشکوک از طریق پلاگین شِل از راه دور Windows Management’s Remote Management (WinrsHost.exe) از سیستم منبع ناشناخته در یک شبکه متصل اجرا شده است.
اولین فایلی که اجرا می شود بدافزاری به نام PATHLOADER است که امکان اجرای شِلکد رمزگذاری شده دریافت شده از سرور خارجی را فراهم می کند. FINALDRAFT که به زبان C++ نوشته شده است یک ابزار مدیریت از راه دور با امکانات کامل است که دارای قابلیتهایی برای اجرای ماژولهای اضافی در جریان است و از سرویس ایمیل Outlook از طریق Microsoft Graph API برای اهداف فرمان و کنترل (C2) سوء استفاده میکند.
https://thehackernews.com/2025/02/finaldraft-malware-exploits-microsoft.html
