Файловете на PowerPoint са хакнати, за да се разпространи този нов руски зловреден софтуер

Изследователите са разкрили нова кампания за кибершпионаж, която използва опасна уязвимост на PowerPoint, за да достави злонамерения софтуер Graphite до целеви крайни точки (отваря се в нов раздел).

Това, което прави тази кампания особено опасна, е фактът, че жертвите всъщност не трябва да щракнат върху връзка или да изтеглят самия злонамерен софтуер – достатъчно е задържане на мишката, за да задейства атаката.

Изследователите на киберсигурността Cluster25 наскоро забелязаха APT28, известен също като Fancy Bear, да разпространява PowerPoint (.PPT) презентация, която се преструва, че идва от Организацията за икономическо сътрудничество и развитие (ОИСР).

В .PPT има два слайда, съдържащи хипервръзка. Когато жертвата задържи мишката върху хипервръзката, тя задейства PowerShell скрипт, използвайки помощната програма SyncAppvPublishingServer, беше обяснено. Скриптът изтегля JPEG файл, озаглавен DSC0002.jpeg от акаунт в Microsoft OneDrive. JPEG всъщност е шифрован .DLL файл, наречен Imapi2.dll. По-късно този файл изтегля и декриптира втори .JPEG – зловреден софтуер Graphite в преносима изпълнима (PE) форма.

Според Malpedia, Graphite е открит за първи път от изследователи в Trellix, които го описват като зловреден софтуер, който използва Microsoft Graph API и OneDrive като C2. Първоначално той се внедряваше в паметта и целта му беше да изтегли агента Empire след експлоатация.

APT28 е добре известен заплашващ актьор, за който се твърди, че е на заплата в Русия. Експертите по сигурността смятат, че групата е част от Главното разузнавателно управление на руския Генерален щаб или ГРУ.

Групата разпространява Graphite чрез тази техника от началото на септември, смятат изследователите, добавяйки още, че нейните най-вероятни цели са организации в сектора на отбраната и правителството, на страни в ЕС, както и в Източна Европа.

От нахлуването в Украйна кибервойната между Русия и Запада се засили. В средата на април тази година Microsoft съобщи, че е свалил седем домейна, които руските киберпрестъпници са използвали при кибератаки срещу украински цели, предимно държавни институции и медии.

Via: BleepingComputer (отваря се в нов раздел)

източник

Предишна публикация

Следващ пост

Keep Calm and Stay Smart

21:03

Нашият екип професионално тества стотици софтуер, услуги и бизнес стратегии всяка година чрез нашите собствени консултанти и група от бизнес лидери.

Ние избираме строго решения само с най-високо съотношение цена-полза, които са лесни за използване, които се интегрират прилично във всякакъв тип организация и които включват водещи функции, за да ви гарантират да останете на върха на вашия бизнес сектор.

Файловете на PowerPoint са хакнати, за да се разпространи този нов руски зловреден софтуер

Задължителен софтуер през 2024 г

Топ категории

Най-новите мнения

Тийзър видео на Samsung Galaxy Z Flip 5, преди събитието Galaxy Unpacked, показва нов дизайн на панти, цветови опции

Twitter ограничава броя на DM съобщенията, които непотвърдените потребители могат да изпращат

Любимият ми телефон с Android може да прави неща, които моят iPhone 14 Pro Max не може

ChatGPT за Android стартира следващата седмица и можете да се регистрирате предварително сега

Xiaomi Smart TV 32A, Smart TV 40A, Smart TV 43A с Google TV, 20W високоговорители, лансирани в Индия: Цена, Спецификации

Тази ядивна батерия може да захранва света на диагностиката и устойчивата енергия