Program

/

CODE BLUE 2025

Time Table

FINALDRAFTを解剖する:国家支援型マルチプラットフォーム・バックドアから得られる実用的なインテリジェンス

DAY 2

09:00-09:40

2025年2月より、南米の外国省を標的とし、その後東南アジアに拡大した、巧妙な国家支援型キャンペーンを追跡してきました。我々の調査により、特にMicrosoft Graph APIをC2に利用するモジュール式のクロスプラットフォームバックドアFINALDRAFTという、新しいマルウェアファミリーが発見されました。その巧妙さにもかかわらず、オペレーターは重要なOPSECエラーを犯し、インフラとリリース前のマルウェアを露呈させました。

マルウェアの進化、カスタムプロトコル、およびラテラルムーブメント、スクリプト実行、列挙のためのFINALDRAFTのモジュールに関する技術的洞察を提供します。2025年4月から6月にかけて、オープンソースツール、難読化、攻撃セキュリティツール、高度に難読化されたマルウェアの両方を利用した最近の活動が観測されており、キャンペーンは継続しています。

研究者、SOC、AVベンダー向けに調整されたこの講演は、実用的なインテリジェンスを提供し、このグループのTTPをカバーします。マルウェアと対話し、検出開発を支援するためのカスタムツールがリリースされます。

  • Location :

    • Track 1(HALL B)

  • Category :

    • CyberCrime

  • Share :

Speakers

  • サリム・ビタム の写真

    Salim Bitam

    サリム・ビタム

    Salim Bitamは、Elastic Security Labsのマルウェア研究者およびリバースエンジニアとして、新しいマルウェアの分析、設定抽出ツールやエミュレーターなどのツールの作成を専門としています。さらに、サイバー脅威の進化を先取りするために脅威グループを追跡しています。彼の経歴には、カスタムマルウェアや攻撃ツールを開発したレッドチーム/パープルチームでの役割が含まれています。