Pētnieki ir atklājuši jaunu kiberspiegošanas kampaņu, kas izmanto bīstamu PowerPoint ievainojamību, lai piegādātu Graphite ļaunprātīgu programmatūru mērķa galapunktiem. (atveras jaunā cilnē) .
Īpaši bīstamu šo kampaņu padara fakts, ka upuriem faktiski nav jāklikšķina uz saites vai jālejupielādē pati ļaunprogrammatūra — pietiek ar peles kursoru, lai izraisītu uzbrukumu.
Kiberdrošības pētnieki Cluster25 nesen pamanīja APT28, kas pazīstams arī kā Fancy Bear, kas izplata PowerPoint (.PPT) prezentāciju, izliekoties, ka nāk no Ekonomiskās sadarbības un attīstības organizācijas (OECD).
.PPT ir divi slaidi, kas satur hipersaiti. Kad upuris novieto peli virs hipersaites, tas aktivizē PowerShell skriptu, izmantojot utilītu SyncAppvPublishingServer, tika paskaidrots. Skripts lejupielādē JPEG failu ar nosaukumu DSC0002.jpeg no Microsoft OneDrive konta. JPEG faktiski ir šifrēts .DLL fails ar nosaukumu Imapi2.dll. Šis fails vēlāk izvelk un atšifrē otru .JPEG — Graphite ļaunprogrammatūru portatīvā izpildāmā (PE) formātā.
Kā norāda Malpedia, Graphite vispirms atklāja Trellix pētnieki, kas to aprakstīja kā ļaunprātīgu programmatūru, kas kā C2 izmanto Microsoft Graph API un OneDrive. Sākotnēji tas tika izvietots atmiņā, un tā mērķis bija lejupielādēt Empire pēcekspluatācijas aģentu.
APT28 ir labi zināms draudu aktieris, it kā Krievijas algu sarakstā. Drošības eksperti uzskata, ka grupa ir daļa no Krievijas Ģenerālštāba Galvenās izlūkošanas direktorāta jeb GRU.
Grupa ir izplatījusi grafītu, izmantojot šo metodi kopš septembra sākuma, uzskata pētnieki, turklāt piebilstot, ka tās visticamākais mērķis ir organizācijas aizsardzības un valdības sektorā, ES valstīs, kā arī Austrumeiropā.
Kopš iebrukuma Ukrainā kiberkarš starp Krieviju un Rietumiem ir saasinājies. Šī gada aprīļa vidū Microsoft ziņoja par septiņu domēnu likvidēšanu, ko Krievijas kibernoziedznieki izmantoja kiberuzbrukumos pret Ukrainas mērķiem, galvenokārt valdības iestādēm un plašsaziņas līdzekļiem.
Izmantojot: BlepingComputer (atveras jaunā cilnē)