新型マルウェア「FINALDRAFT」の脅威 Outlookの下書きを悪用した高度な攻撃手法：セキュリティニュースアラート

新型マルウェア「FINALDRAFT」が発見された。Microsoft Graph APIを悪用し、Outlookの下書きメールをC2通信に利用する高度な手法を採用している。カスタムローダー「PATHLOADER」と連携し、データ窃取やプロセス注入を実行するという。

[後藤大地，有限会社オングス]

　Elasticの脅威インテリジェンスチーム「Elastic Security Labs」は2025年2月13日（現地時間）、高度なマルウェア「FINALDRAFT」の存在を明らかにした。

　このマルウェアは「Microsoft Graph API」を利用して「Microsoft Outlook」（以下、Outlook）の下書きメールを通信チャネルとして悪用するとされており、国家機関への攻撃に使用された可能性がある。

Outlookメールの下書きでC2通信、FINALDRAFTの攻撃手法

　FINALDRAFTはカスタムローダー「PATHLOADER」と連携しており、標的システムに侵入する。PATHLOADERは外部サーバから暗号化されたシェルコードをダウンロードし、実行する「Windows PE」ファイルとされている。APIハッシュ化や文字列難読化を使って静的解析を困難にする手法が取られており、シェルコードのダウンロード後はAES暗号で復号して実行する。このシェルコードによってFINALDRAFTが展開され、標的システム内に長期的な攻撃基盤を確立する。

　FINALDRAFTは64BitのC++で記述されており、主にデータの窃取やプロセス注入を行う。内部には複数のサブモジュールが含まれているとされ、標的環境内で高度な攻撃を実行できる。設定情報を暗号化された形でバイナリー内に保持しており、「Windows」のプロダクトIDなどを利用して復号する。構成データにはC2サーバ情報や暗号鍵、遅延実行タイミング（スリープ値）などが含まれる。

　通信にはMicrosoft Graph APIを悪用し、Outlookの下書きメールを利用する手法を採用している。C2サーバとのやりとりは以下の手順で実行される。

1. 下書きメールを作成し、セッション情報を書き込む
2. C2が作成したコマンドリクエストの下書きメールを読み取り、削除
3. コマンドを実行し、結果を新たな下書きメールとして書き込む

　この手法は従来のC2通信とは異なり、ネットワーク監視による検出を回避する狙いがあるとみられている。

　このマルウェアが長期間にわたり開発されてきたことを示す複数のバージョンが発見されている。また、「Linux」向けのバリアントも確認されており、多様な環境に適応可能な設計になっていることも判明している。さらに2023年2月に報告された「SIESTAGRAPH」と呼ばれるマルウェアと類似の通信手法を使用していることから、中国の脅威アクターが関与している可能性が示唆されている。

　同様の手法を利用する攻撃が今後も発生する可能性がある。企業や政府機関はFINALDRAFTのようなマルウェアに注意するとともにセキュリティ対策を強化することが望まれる。