Výzkumníci odhalili novou kampaň kybernetické špionáže, která využívá nebezpečnou zranitelnost PowerPointu k doručení malwaru Graphite do cílových koncových bodů. (otevře se na nové kartě) .
Co dělá tuto kampaň obzvláště nebezpečnou, je skutečnost, že oběti ve skutečnosti nemusí klikat na odkaz nebo stahovat samotný malware – ke spuštění útoku stačí najetí myší.
Výzkumníci v oblasti kybernetické bezpečnosti Cluster25 si nedávno všimli, že APT28, také známý jako Fancy Bear, distribuuje prezentaci v PowerPointu (.PPT), která předstírá, že pochází od Organizace pro hospodářskou spolupráci a rozvoj (OECD).
V souboru .PPT jsou dva snímky obsahující hypertextový odkaz. Když oběť najede myší na hypertextový odkaz, spustí se skript PowerShell pomocí nástroje SyncAppvPublishingServer, jak bylo vysvětleno. Skript stáhne soubor JPEG s názvem DSC0002.jpeg z účtu Microsoft OneDrive. JPEG je ve skutečnosti zašifrovaný soubor .DLL s názvem Imapi2.dll. Tento soubor později stáhne a dešifruje druhý .JPEG – malware Graphite ve formě přenosného spustitelného souboru (PE).
Podle Malpedie byl Graphite poprvé objeven výzkumníky z Trellix, kteří jej popsali jako malware, který používá Microsoft Graph API a OneDrive jako svůj C2. Zpočátku byl nasazován v paměti a jeho cílem bylo stáhnout agenta Empire po exploataci.
APT28 je známým aktérem hrozeb, údajně na výplatní listině Ruska. Bezpečnostní experti se domnívají, že skupina je součástí hlavního zpravodajského ředitelství ruského generálního štábu, neboli GRU.
Skupina distribuuje grafit prostřednictvím této techniky od začátku září, domnívají se vědci a dále dodávají, že jejím nejpravděpodobnějším cílem jsou organizace v obranném a vládním sektoru ze zemí EU a také východní Evropy.
Od invaze na Ukrajinu kybernetická válka mezi Ruskem a Západem zesílila. V polovině letošního dubna Microsoft oznámil odstranění sedmi domén, které ruští kyberzločinci používali při kyberútocích proti ukrajinským cílům, většinou vládním institucím a médiím.
Ulice: BleepingComputer (otevře se na nové kartě)