Οι ερευνητές ανακάλυψαν μια νέα εκστρατεία κυβερνοκατασκοπείας που αξιοποιεί μια επικίνδυνη ευπάθεια του PowerPoint για να παραδώσει το κακόβουλο λογισμικό Graphite σε στόχευση τελικών σημείων (ανοίγει σε νέα καρτέλα) .
Αυτό που καθιστά αυτήν την καμπάνια ιδιαίτερα επικίνδυνη είναι το γεγονός ότι τα θύματα δεν χρειάζεται να κάνουν κλικ σε έναν σύνδεσμο ή να κατεβάσουν το ίδιο το κακόβουλο λογισμικό – ένα ποντίκι αρκεί για να πυροδοτήσει την επίθεση.
Οι ερευνητές κυβερνοασφάλειας Cluster25 εντόπισαν πρόσφατα το APT28, γνωστό και ως Fancy Bear, να διανέμει μια παρουσίαση PowerPoint (.PPT) που προσποιείται ότι προέρχεται από τον Οργανισμό Οικονομικής Συνεργασίας και Ανάπτυξης (ΟΟΣΑ).
Στο .PPT υπάρχουν δύο διαφάνειες, που περιέχουν μια υπερ-σύνδεση. Όταν το θύμα τοποθετεί το ποντίκι του πάνω από την υπερ-σύνδεση, ενεργοποιεί ένα σενάριο PowerShell, χρησιμοποιώντας το βοηθητικό πρόγραμμα SyncAppvPublishingServer, εξηγήθηκε. Το σενάριο πραγματοποιεί λήψη ενός αρχείου JPEG με τίτλο DSC0002.jpeg από έναν λογαριασμό Microsoft OneDrive. Το JPEG είναι, στην πραγματικότητα, ένα κρυπτογραφημένο αρχείο .DLL που ονομάζεται Imapi2.dll. Αυτό το αρχείο αργότερα τραβά και αποκρυπτογραφεί ένα δεύτερο .JPEG – το κακόβουλο λογισμικό Graphite σε φορητή εκτελέσιμη μορφή (PE).
Σύμφωνα με το Malpedia, το Graphite ανακαλύφθηκε για πρώτη φορά από ερευνητές στο Trellix, οι οποίοι το περιέγραψαν ως κακόβουλο λογισμικό που χρησιμοποιεί το Microsoft Graph API και το OneDrive ως C2 του. Αρχικά, αναπτύχθηκε στη μνήμη και στόχος του ήταν να κατεβάσει τον πράκτορα μετά την εκμετάλλευση της Empire.
Ο APT28 είναι ένας πολύ γνωστός παράγοντας απειλών, που φέρεται να είναι στο μισθολόγιο της Ρωσίας. Εμπειρογνώμονες ασφαλείας πιστεύουν ότι η ομάδα είναι μέρος της Κύριας Διεύθυνσης Πληροφοριών του Ρωσικού Γενικού Επιτελείου, ή GRU.
Η ομάδα διανέμει Graphite μέσω αυτής της τεχνικής από τις αρχές Σεπτεμβρίου, πιστεύουν οι ερευνητές, προσθέτοντας περαιτέρω ότι οι πιθανότεροι στόχοι της είναι οργανισμοί στον αμυντικό και κυβερνητικό τομέα, χωρών της ΕΕ, καθώς και της Ανατολικής Ευρώπης.
Από την εισβολή στην Ουκρανία, ο κυβερνοπόλεμος μεταξύ Ρωσίας και Δύσης έχει ενταθεί. Στα μέσα Απριλίου του τρέχοντος έτους, η Microsoft ανέφερε ότι κατάργησε επτά τομείς που χρησιμοποιούσαν Ρώσοι κυβερνοεγκληματίες σε κυβερνοεπιθέσεις εναντίον ουκρανικών στόχων, κυρίως κυβερνητικών ιδρυμάτων και μέσων ενημέρωσης.
μέσω: BleepingComputer (ανοίγει σε νέα καρτέλα)