Para peneliti telah menemukan kampanye spionase cyber baru yang memanfaatkan kerentanan PowerPoint yang berbahaya untuk mengirimkan malware Graphite ke titik akhir target (terbuka di tab baru) .
Apa yang membuat kampanye ini sangat berbahaya adalah kenyataan bahwa para korban sebenarnya tidak perlu mengeklik tautan, atau mengunduh malware itu sendiri – kursor mouse sudah cukup untuk memicu serangan.
Peneliti keamanan siber Cluster25 baru-baru ini melihat APT28, juga dikenal sebagai Fancy Bear, mendistribusikan presentasi PowerPoint (.PPT) yang berpura-pura berasal dari Organisasi untuk Kerjasama dan Pembangunan Ekonomi (OECD).
Di .PPT ada dua slide, yang berisi hyperlink. Ketika korban mengarahkan mouse mereka ke hyperlink, itu memicu skrip PowerShell, menggunakan utilitas SyncAppvPublishingServer, dijelaskan. Script mengunduh file JPEG berjudul DSC0002.jpeg dari akun Microsoft OneDrive. JPEG sebenarnya adalah file .DLL terenkripsi yang disebut Imapi2.dll. File ini kemudian menarik dan mendekripsi .JPEG kedua – malware Graphite dalam bentuk portable executable (PE).
Sesuai Malpedia, Graphite pertama kali ditemukan oleh para peneliti di Trellix, yang menggambarkannya sebagai malware yang menggunakan Microsoft Graph API dan OneDrive sebagai C2-nya. Awalnya, itu digunakan dalam memori, dan tujuannya adalah untuk mengunduh agen pasca-eksploitasi Empire.
APT28 adalah aktor ancaman terkenal, diduga di gaji Rusia. Pakar keamanan percaya kelompok itu adalah bagian dari Direktorat Intelijen Utama Staf Umum Rusia, atau GRU.
Kelompok tersebut telah mendistribusikan Graphite melalui teknik ini sejak awal September, para peneliti percaya, lebih lanjut menambahkan bahwa target yang paling mungkin adalah organisasi di sektor pertahanan dan pemerintah, negara-negara di Uni Eropa, serta Eropa Timur.
Sejak invasi ke Ukraina, perang dunia maya antara Rusia dan Barat semakin intensif. Pada pertengahan April tahun ini, Microsoft melaporkan telah menghapus tujuh domain yang digunakan penjahat siber Rusia dalam serangan siber terhadap target Ukraina, sebagian besar lembaga pemerintah dan media.
via: BleepingComputer (terbuka di tab baru)