Onderzoekers hebben een nieuwe cyberspionagecampagne ontdekt die gebruikmaakt van een gevaarlijke PowerPoint-kwetsbaarheid om de Graphite-malware te leveren aan doeleindpunten (opent in nieuw tabblad) .
Wat deze campagne bijzonder gevaarlijk maakt, is het feit dat de slachtoffers niet echt op een link hoeven te klikken of de malware zelf hoeven te downloaden - een muisaanwijzer is voldoende om de aanval te activeren.
Cybersecurity-onderzoekers Cluster25 zagen onlangs dat APT28, ook wel bekend als Fancy Bear, een PowerPoint-presentatie (.PPT) verspreidde die zich voordeed als afkomstig van de Organisatie voor Economische Samenwerking en Ontwikkeling (OESO).
In de .PPT staan twee slides, met daarin een hyperlink. Wanneer het slachtoffer zijn muis over de hyperlink beweegt, wordt een PowerShell-script geactiveerd, met behulp van het hulpprogramma SyncAppvPublishingServer, zo werd uitgelegd. Het script downloadt een JPEG-bestand met de naam DSC0002.jpeg van een Microsoft OneDrive-account. De JPEG is in feite een versleuteld .DLL-bestand met de naam Imapi2.dll. Dit bestand haalt en decodeert later een tweede .JPEG - de Graphite-malware in portable executable (PE) vorm.
Volgens Malpedia werd Graphite voor het eerst ontdekt door onderzoekers van Trellix, die het beschreven als malware die Microsoft Graph API en OneDrive als C2 gebruikt. Aanvankelijk werd het in het geheugen geïmplementeerd en het doel was om de post-exploitatieagent van Empire te downloaden.
APT28 is een bekende dreigingsactor, naar verluidt op de loonlijst van Rusland. Beveiligingsexperts denken dat de groep deel uitmaakt van het Main Intelligence Directorate van de Russische Generale Staf, of GRU.
De groep distribueert sinds begin september Graphite via deze techniek, menen de onderzoekers, en voegde eraan toe dat de meest waarschijnlijke doelen organisaties in defensie- en overheidssectoren zijn, van landen in de EU en Oost-Europa.
Sinds de invasie van Oekraïne is de cyberoorlog tussen Rusland en het Westen geïntensiveerd. Half april van dit jaar meldde Microsoft dat het zeven domeinen had neergehaald die Russische cybercriminelen gebruikten bij cyberaanvallen op Oekraïense doelen, voornamelijk overheidsinstellingen en de media.
Via: BeginnersWeb (opent in nieuw tabblad)