Даследчыкі выявілі новую кампанію кібершпіянажу, якая выкарыстоўвае небяспечную ўразлівасць PowerPoint для дастаўкі шкоднасных праграм Graphite да мэтавых канчатковых кропак (адкрываецца ў новай укладцы) .
Што робіць гэтую кампанію асабліва небяспечнай, так гэта той факт, што ахвярам насамрэч не трэба націскаць спасылку або спампоўваць саму шкоднасную праграму - дастаткова навесці курсор мышы, каб выклікаць атаку.
Даследчыкі кібербяспекі Cluster25 нядаўна заўважылі APT28, таксама вядомую як Fancy Bear, якая распаўсюджвала прэзентацыю PowerPoint (.PPT), быццам бы ад Арганізацыі эканамічнага супрацоўніцтва і развіцця (АЭСР).
У .PPT два слайды, якія змяшчаюць гіперспасылку. Як было растлумачана, калі ахвяра наводзіць курсор мышы на гіперспасылку, запускаецца скрыпт PowerShell з дапамогай утыліты SyncAppvPublishingServer. Скрыпт загружае файл JPEG пад назвай DSC0002.jpeg з уліковага запісу Microsoft OneDrive. Фактычна JPEG - гэта зашыфраваны файл .DLL пад назвай Imapi2.dll. Пазней гэты файл выцягвае і расшыфроўвае другі .JPEG - шкоднаснае праграмнае забеспячэнне Graphite у форме партатыўнага выкананага файла (PE).
Папулярны ў цяперашні час
Згодна з Malpedia, Graphite быў упершыню знойдзены даследчыкамі Trellix, якія апісалі яго як шкоднаснае ПЗ, якое выкарыстоўвае Microsoft Graph API і OneDrive у якасці C2. Першапачаткова ён разгортваўся ў памяці, і яго мэта складалася ў загрузцы агента Empire пасля эксплуатацыі.
APT28 з'яўляецца вядомым фігурантам пагроз, які нібыта знаходзіцца на заробку ў Расіі. Эксперты па бяспецы мяркуюць, што група з'яўляецца часткай Галоўнага разведвальнага ўпраўлення Генштаба Расеі (ГРУ).
Даследчыкі мяркуюць, што група распаўсюджвала Graphite з дапамогай гэтай тэхнікі з пачатку верасня, дадаючы, што яе найбольш верагоднымі мэтамі з'яўляюцца арганізацыі ў абаронным і дзяржаўным сектарах, у краінах ЕС, а таксама ва Усходняй Еўропе.
З моманту ўварвання ва Украіну кібервайна паміж Расіяй і Захадам узмацнілася. У сярэдзіне красавіка гэтага года Microsoft паведаміла аб ліквідацыі сямі даменаў, якія расейскія кіберзлачынцы выкарыстоўвалі ў кібератаках на ўкраінскія мэты, у асноўным дзяржаўныя ўстановы і СМІ.
Via: BleepingComputer (адкрываецца ў новай укладцы)