كشف الباحثون النقاب عن حملة تجسس إلكتروني جديدة تستفيد من ثغرة خطيرة في PowerPoint لتقديم برامج الجرافيت الضارة لنقاط النهاية المستهدفة (يفتح في علامة تبويب جديدة) .
ما يجعل هذه الحملة خطيرة بشكل خاص هو حقيقة أن الضحايا لا يحتاجون فعليًا إلى النقر فوق ارتباط ، أو تنزيل البرنامج الضار نفسه - يكفي تمرير الماوس لبدء الهجوم.
اكتشف باحثو الأمن السيبراني Cluster25 مؤخرًا APT28 ، والمعروف أيضًا باسم Fancy Bear ، وهم يوزعون عرضًا تقديميًا لـ PowerPoint (.PPT) يتظاهر بأنه يأتي من منظمة التعاون الاقتصادي والتنمية (OECD).
في .PPT شريحتان تحتويان على ارتباط تشعبي. عندما تمرر الضحية مؤشر الماوس فوق الارتباط التشعبي ، فإنها تقوم بتشغيل برنامج نصي من PowerShell ، باستخدام الأداة المساعدة SyncAppvPublishingServer ، تم توضيح ذلك. يقوم البرنامج النصي بتنزيل ملف JPEG بعنوان DSC0002.jpeg من حساب Microsoft OneDrive. JPEG هو ، في الواقع ، ملف مشفر .DLL يسمى Imapi2.dll. يقوم هذا الملف لاحقًا بسحب وفك تشفير ملف .JPEG ثاني - البرنامج الضار للجرافيت في نموذج قابل للتنفيذ (PE).
وفقًا لمالبيديا ، تم اكتشاف الجرافيت لأول مرة من قبل الباحثين في Trellix ، الذين وصفوه بأنه برنامج ضار يستخدم Microsoft Graph API و OneDrive باعتباره C2. في البداية ، تم نشره في الذاكرة ، وكان هدفه تنزيل وكيل Empire بعد الاستغلال.
APT28 هو ممثل تهديد معروف ، يُزعم أنه يتقاضى رواتب روسية. يعتقد خبراء الأمن أن المجموعة جزء من مديرية المخابرات الرئيسية لهيئة الأركان العامة الروسية أو GRU.
يعتقد الباحثون أن المجموعة توزع الجرافيت عبر هذه التقنية منذ أوائل سبتمبر ، مضيفين كذلك أن أهدافها الأكثر ترجيحًا هي المنظمات في قطاعي الدفاع والحكومة ، في دول في الاتحاد الأوروبي ، وكذلك أوروبا الشرقية.
منذ غزو أوكرانيا ، اشتدت الحرب الإلكترونية بين روسيا والغرب. في منتصف أبريل من هذا العام ، أفادت Microsoft بإزالة سبعة مجالات كان يستخدمها مجرمو الإنترنت الروس في الهجمات الإلكترونية ضد أهداف أوكرانية ، معظمها المؤسسات الحكومية ووسائل الإعلام.
عن طريق: BleepingComputer (يفتح في علامة تبويب جديدة)