Зерттеушілер Graphite зиянды бағдарламалық құралын мақсатты соңғы нүктелерге жеткізу үшін қауіпті PowerPoint осалдығын пайдаланатын жаңа кибер-тыңшылық науқанын ашты. (жаңа қойындыда ашылады) .
Бұл науқанды ерекше қауіпті ететін нәрсе - жәбірленушілерге сілтемені басу немесе зиянды бағдарламаны жүктеудің қажеті жоқ – шабуылды бастау үшін тінтуірдің меңзерін апару жеткілікті.
Жақында Cluster25 киберқауіпсіздік зерттеушілері Экономикалық Ынтымақтастық және Даму Ұйымынан (ЭЫДҰ) келгендей етіп PowerPoint (.PPT) презентациясын таратып жатқан, Fancy Bear деген атпен белгілі APT28 нұсқасын байқады.
.PPT ішінде гиперсілтемесі бар екі слайд бар. Жәбірленуші тінтуірді гиперсілтеменің үстіне апарғанда, ол SyncAppvPublishingServer қызметтік бағдарламасын пайдаланып PowerShell сценарийін іске қосады, бұл түсіндірілді. Сценарий Microsoft OneDrive тіркелгісінен DSC0002.jpeg атты JPEG файлын жүктейді. JPEG шын мәнінде Imapi2.dll деп аталатын шифрланған .DLL файлы болып табылады. Бұл файл кейінірек екінші .JPEG – портативті орындалатын (PE) пішіндегі Graphite зиянды бағдарламалық құралын тартып алады және шифрын шешеді.
Malpedia мәліметтері бойынша, Graphite алғаш рет Trellix зерттеушілерімен табылды, олар оны Microsoft Graph API және OneDrive C2 ретінде пайдаланатын зиянды бағдарлама ретінде сипаттады. Бастапқыда ол жадқа орналастырылды және оның мақсаты Empire эксплуатациядан кейінгі агентті жүктеу болды.
APT28 - Ресейдің жалақысы туралы болжам бойынша белгілі қауіп актер. Қауіпсіздік сарапшылары бұл топты Ресей Бас штабының Бас барлау басқармасының немесе GRU-ның бір бөлігі деп санайды.
Топ қыркүйек айының басынан бері осы техника арқылы Графитті таратып келеді, деп есептейді зерттеушілер, әрі оның ең ықтимал мақсаттары қорғаныс және үкімет секторындағы ұйымдар, ЕО елдері, сондай-ақ Шығыс Еуропа болып табылады.
Украинаға басып кіргеннен бері Ресей мен Батыс арасындағы киберсоғыс күшейе түсті. Осы жылдың сәуір айының ортасында Microsoft ресейлік киберқылмыскерлер украиндық нысандарға, негізінен мемлекеттік мекемелер мен БАҚ-қа қарсы кибершабуылдарда қолданатын жеті доменді жойғаны туралы хабарлады.
Via: BleepingComputer (жаңа қойындыда ашылады)