Tutkijat ovat paljastaneet uuden kybervakoilukampanjan, joka hyödyntää vaarallista PowerPoint-haavoittuvuutta ja toimittaa Graphite-haittaohjelman kohdepäätepisteisiin. (avautuu uuteen välilehteen) .
Erityisen vaarallisen tästä kampanjasta tekee se, että uhrien ei itse asiassa tarvitse napsauttaa linkkiä tai ladata itse haittaohjelmaa – hiiren osoitin riittää käynnistämään hyökkäyksen.
Kyberturvallisuustutkijat Cluster25 huomasi äskettäin APT28:n, joka tunnetaan myös nimellä Fancy Bear, jakamassa PowerPoint (.PPT) -esitystä, joka teeskenteli olevansa Taloudellisen yhteistyön ja kehityksen järjestöstä (OECD).
.PPT:ssä on kaksi diaa, jotka sisältävät hyperlinkin. Kun uhri vie hiiren hyperlinkin päälle, se laukaisee PowerShell-komentosarjan SyncAppvPublishingServer-apuohjelman avulla, selitettiin. Komentosarja lataa JPEG-tiedoston nimeltä DSC0002.jpeg Microsoft OneDrive -tililtä. JPEG on itse asiassa salattu .DLL-tiedosto nimeltä Imapi2.dll. Tämä tiedosto vetää myöhemmin ja purkaa toisen .JPEG:n – Graphite-haittaohjelman kannettavassa suoritettavassa (PE) muodossa.
Malpedian mukaan Trellixin tutkijat löysivät Graphiten ensimmäisenä, ja he kuvasivat sen haittaohjelmaksi, joka käyttää Microsoft Graph API:ta ja OneDrivea C2:naan. Aluksi sitä otettiin käyttöön muistissa, ja sen tavoitteena oli ladata Empire-agentti hyväksikäytön jälkeen.
APT28 on tunnettu uhkatekijä, jonka väitetään olevan Venäjän palkkalistoilla. Turvallisuusasiantuntijat uskovat, että ryhmä on osa Venäjän kenraaliesikunnan päätiedusteluosastoa eli GRU:ta.
Ryhmä on levittänyt grafiittia tällä tekniikalla syyskuun alusta lähtien, tutkijat uskovat ja lisäävät, että sen todennäköisimpiä kohteita ovat puolustus- ja hallintosektorin organisaatiot, EU-maat sekä Itä-Eurooppa.
Ukrainan hyökkäyksestä lähtien Venäjän ja lännen välinen kybersota on voimistunut. Tämän vuoden huhtikuun puolivälissä Microsoft ilmoitti poistaneensa seitsemän verkkotunnusta, joita venäläiset kyberrikolliset käyttivät kyberhyökkäyksissä ukrainalaisia kohteita, lähinnä valtion instituutioita ja mediaa, vastaan.
Via: BleepingComputer (avautuu uuteen välilehteen)