Forskere har afsløret en ny cyberspionagekampagne, der udnytter en farlig PowerPoint-sårbarhed til at levere Graphite-malwaren til målrettede slutpunkter (åbner i ny fane) .
Det, der gør denne kampagne særlig farlig, er det faktum, at ofrene faktisk ikke behøver at klikke på et link eller downloade selve malwaren – en musebevægelse er nok til at udløse angrebet.
Cybersikkerhedsforskere Cluster25 så for nylig APT28, også kendt som Fancy Bear, distribuere en PowerPoint (.PPT)-præsentation, der foregav at komme fra Organisationen for Økonomisk Samarbejde og Udvikling (OECD).
I .PPT er to slides, der indeholder et hyperlink. Når offeret holder musen over hyperlinket, udløser det et PowerShell-script ved hjælp af SyncAppvPublishingServer-værktøjet, blev det forklaret. Scriptet downloader en JPEG-fil med titlen DSC0002.jpeg fra en Microsoft OneDrive-konto. JPEG er i virkeligheden en krypteret .DLL-fil kaldet Imapi2.dll. Denne fil trækker og dekrypterer senere en anden .JPEG - Graphite malware i bærbar eksekverbar (PE) form.
Ifølge Malpedia blev Graphite først opdaget af forskere hos Trellix, som beskrev det som malware, der bruger Microsoft Graph API og OneDrive som sin C2. Oprindeligt blev den installeret i hukommelsen, og dens mål var at downloade Empire-agenten efter udnyttelse.
APT28 er en kendt trusselsaktør, angiveligt på Ruslands lønningsliste. Sikkerhedseksperter mener, at gruppen er en del af hovedefterretningsdirektoratet for den russiske generalstab, eller GRU.
Gruppen har distribueret grafit via denne teknik siden begyndelsen af september, mener forskerne, og tilføjer endvidere, at dens mest sandsynlige mål er organisationer i forsvars- og regeringssektorer, lande i EU såvel som Østeuropa.
Lige siden invasionen af Ukraine er cyberkrigen mellem Rusland og Vesten blevet intensiveret. I midten af april i år rapporterede Microsoft at fjerne syv domæner, som russiske cyberkriminelle brugte i cyberangreb mod ukrainske mål, for det meste statslige institutioner og medier.
via: BleepingComputer (åbner i ny fane)