Forscher haben eine neue Cyber-Spionage-Kampagne aufgedeckt, die eine gefährliche PowerPoint-Schwachstelle nutzt, um die Graphite-Malware an Zielendpunkte zu liefern (öffnet in neuem Tab) .
Was diese Kampagne besonders gefährlich macht, ist die Tatsache, dass die Opfer nicht wirklich auf einen Link klicken oder die Malware selbst herunterladen müssen – ein Mauszeiger reicht aus, um den Angriff auszulösen.
Die Cybersicherheitsforscher Cluster25 entdeckten kürzlich APT28, auch bekannt als Fancy Bear, bei der Verteilung einer PowerPoint-Präsentation (.PPT), die vorgab, von der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) zu stammen.
In der .PPT-Datei befinden sich zwei Folien, die einen Hyperlink enthalten. Wenn das Opfer mit der Maus über den Hyperlink fährt, löst es ein PowerShell-Skript aus, das das Dienstprogramm SyncAppvPublishingServer verwendet, wurde erklärt. Das Skript lädt eine JPEG-Datei mit dem Titel DSC0002.jpeg von einem Microsoft OneDrive-Konto herunter. Das JPEG ist tatsächlich eine verschlüsselte .DLL-Datei namens Imapi2.dll. Diese Datei zieht und entschlüsselt später eine zweite .JPEG – die Graphite-Malware in Form einer tragbaren ausführbaren Datei (PE).
Laut Malpedia wurde Graphite zuerst von Forschern bei Trellix entdeckt, die es als Malware beschrieben, die Microsoft Graph API und OneDrive als C2 verwendet. Ursprünglich wurde es im Arbeitsspeicher bereitgestellt und hatte das Ziel, den Post-Exploitation-Agenten des Empire herunterzuladen.
APT28 ist ein bekannter Bedrohungsakteur, der angeblich auf Russlands Gehaltsliste steht. Sicherheitsexperten glauben, dass die Gruppe Teil der Hauptnachrichtendirektion des russischen Generalstabs (GRU) ist.
Die Gruppe vertreibt Graphit seit Anfang September über diese Technik, glauben die Forscher, und fügen weiter hinzu, dass ihre wahrscheinlichsten Ziele Organisationen im Verteidigungs- und Regierungssektor von Ländern in der EU sowie in Osteuropa sind.
Seit dem Einmarsch in die Ukraine hat sich der Cyberkrieg zwischen Russland und dem Westen verschärft. Mitte April dieses Jahres berichtete Microsoft, dass sieben Domänen abgeschaltet wurden, die russische Cyberkriminelle für Cyberangriffe auf ukrainische Ziele, hauptsächlich Regierungsinstitutionen und Medien, verwendeten.
Via: PiependerComputer (öffnet in neuem Tab)