Изследователите са разкрили нова кампания за кибершпионаж, която използва опасна уязвимост на PowerPoint, за да достави злонамерения софтуер Graphite до целеви крайни точки (отваря се в нов раздел) .
Това, което прави тази кампания особено опасна, е фактът, че жертвите всъщност не трябва да щракнат върху връзка или да изтеглят самия злонамерен софтуер – достатъчно е задържане на мишката, за да задейства атаката.
Изследователите на киберсигурността Cluster25 наскоро забелязаха APT28, известен също като Fancy Bear, да разпространява PowerPoint (.PPT) презентация, която се преструва, че идва от Организацията за икономическо сътрудничество и развитие (ОИСР).
В .PPT има два слайда, съдържащи хипервръзка. Когато жертвата задържи мишката върху хипервръзката, тя задейства PowerShell скрипт, използвайки помощната програма SyncAppvPublishingServer, беше обяснено. Скриптът изтегля JPEG файл, озаглавен DSC0002.jpeg от акаунт в Microsoft OneDrive. JPEG всъщност е шифрован .DLL файл, наречен Imapi2.dll. По-късно този файл изтегля и декриптира втори .JPEG – зловреден софтуер Graphite в преносима изпълнима (PE) форма.
Според Malpedia, Graphite е открит за първи път от изследователи в Trellix, които го описват като зловреден софтуер, който използва Microsoft Graph API и OneDrive като C2. Първоначално той се внедряваше в паметта и целта му беше да изтегли агента Empire след експлоатация.
APT28 е добре известен заплашващ актьор, за който се твърди, че е на заплата в Русия. Експертите по сигурността смятат, че групата е част от Главното разузнавателно управление на руския Генерален щаб или ГРУ.
Групата разпространява Graphite чрез тази техника от началото на септември, смятат изследователите, добавяйки още, че нейните най-вероятни цели са организации в сектора на отбраната и правителството, на страни в ЕС, както и в Източна Европа.
От нахлуването в Украйна кибервойната между Русия и Запада се засили. В средата на април тази година Microsoft съобщи, че е свалил седем домейна, които руските киберпрестъпници са използвали при кибератаки срещу украински цели, предимно държавни институции и медии.
Via: BleepingComputer (отваря се в нов раздел)