PowerPoint-Dateien werden gehackt, um diese neue russische Malware zu verbreiten

TechRadar
September 28
Beitrag teilen

Forscher haben eine neue Cyber-Spionage-Kampagne aufgedeckt, die eine gefährliche PowerPoint-Schwachstelle nutzt, um die Graphite-Malware an Zielendpunkte zu liefern (öffnet in neuem Tab).

Was diese Kampagne besonders gefährlich macht, ist die Tatsache, dass die Opfer nicht wirklich auf einen Link klicken oder die Malware selbst herunterladen müssen – ein Mauszeiger reicht aus, um den Angriff auszulösen.

Die Cybersicherheitsforscher Cluster25 entdeckten kürzlich APT28, auch bekannt als Fancy Bear, bei der Verteilung einer PowerPoint-Präsentation (.PPT), die vorgab, von der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) zu stammen.

In der .PPT-Datei befinden sich zwei Folien, die einen Hyperlink enthalten. Wenn das Opfer mit der Maus über den Hyperlink fährt, löst es ein PowerShell-Skript aus, das das Dienstprogramm SyncAppvPublishingServer verwendet, wurde erklärt. Das Skript lädt eine JPEG-Datei mit dem Titel DSC0002.jpeg von einem Microsoft OneDrive-Konto herunter. Das JPEG ist tatsächlich eine verschlüsselte .DLL-Datei namens Imapi2.dll. Diese Datei zieht und entschlüsselt später eine zweite .JPEG – die Graphite-Malware in Form einer tragbaren ausführbaren Datei (PE).

Laut Malpedia wurde Graphite zuerst von Forschern bei Trellix entdeckt, die es als Malware beschrieben, die Microsoft Graph API und OneDrive als C2 verwendet. Ursprünglich wurde es im Arbeitsspeicher bereitgestellt und hatte das Ziel, den Post-Exploitation-Agenten des Empire herunterzuladen.

APT28 ist ein bekannter Bedrohungsakteur, der angeblich auf Russlands Gehaltsliste steht. Sicherheitsexperten glauben, dass die Gruppe Teil der Hauptnachrichtendirektion des russischen Generalstabs (GRU) ist.

Die Gruppe vertreibt Graphit seit Anfang September über diese Technik, glauben die Forscher, und fügen weiter hinzu, dass ihre wahrscheinlichsten Ziele Organisationen im Verteidigungs- und Regierungssektor von Ländern in der EU sowie in Osteuropa sind.

Seit dem Einmarsch in die Ukraine hat sich der Cyberkrieg zwischen Russland und dem Westen verschärft. Mitte April dieses Jahres berichtete Microsoft, dass sieben Domänen abgeschaltet wurden, die russische Cyberkriminelle für Cyberangriffe auf ukrainische Ziele, hauptsächlich Regierungsinstitutionen und Medien, verwendeten.

Via: PiependerComputer (öffnet in neuem Tab)

Quelle

VORHERIGER ARTIKEL

NÄCHSTER ARTIKEL

PowerPoint-Dateien werden gehackt, um diese neue russische Malware zu verbreiten

Must-Have-Software im Jahr 2024

Top Kategorien

Aktuelle Bewertungen

Teaser-Video zum Samsung Galaxy Z Flip 5 im Vorfeld des Galaxy Unpacked-Events zeigt neues Scharnierdesign und neue Farboptionen

Twitter begrenzt die Anzahl der DMs, die nicht verifizierte Benutzer senden können

Mein Lieblings-Android-Telefon kann Dinge, die mein iPhone 14 Pro Max nicht kann

ChatGPT für Android startet nächste Woche und Sie können sich jetzt vorregistrieren

Xiaomi Smart TV 32A, Smart TV 40A, Smart TV 43A mit Google TV, 20-W-Lautsprecher in Indien eingeführt: : Preis, Spezifikationen

Diese essbare Batterie könnte die Welt der Diagnostik und nachhaltigen Energie antreiben