Naukowcy odkryli nową kampanię cyberszpiegowską, która wykorzystuje niebezpieczną lukę w zabezpieczeniach programu PowerPoint, aby dostarczać złośliwe oprogramowanie Graphite do docelowych punktów końcowych (otwiera się w nowej karcie) .
Tym, co czyni tę kampanię szczególnie niebezpieczną, jest fakt, że ofiary nie muszą w rzeczywistości klikać odsyłacza ani pobierać samego złośliwego oprogramowania – wystarczy najechać kursorem myszy, aby wywołać atak.
Badacze cyberbezpieczeństwa Cluster25 niedawno zauważyli APT28, znany również jako Fancy Bear, rozpowszechniający prezentację PowerPoint (.PPT) udającą, że pochodzi z Organizacji Współpracy Gospodarczej i Rozwoju (OECD).
W .PPT znajdują się dwa slajdy zawierające hiperłącze. Wyjaśniono, że kiedy ofiara najedzie kursorem myszy na hiperłącze, uruchamia skrypt PowerShell, korzystając z narzędzia SyncAppvPublishingServer. Skrypt pobiera plik JPEG o nazwie DSC0002.jpeg z konta Microsoft OneDrive. JPEG to w rzeczywistości zaszyfrowany plik .DLL o nazwie Imapi2.dll. Plik ten później pobiera i odszyfrowuje drugi plik .JPEG — złośliwe oprogramowanie Graphite w postaci przenośnego pliku wykonywalnego (PE).
Jak podaje Malpedia, Graphite został po raz pierwszy odkryty przez badaczy z Trellix, którzy opisali go jako złośliwe oprogramowanie wykorzystujące Microsoft Graph API i OneDrive jako C2. Początkowo był wdrażany w pamięci, a jego celem było pobranie agenta post-exploitation Empire.
APT28 jest dobrze znanym aktorem zajmującym się zagrożeniami, podobno na liście płac Rosji. Eksperci ds. bezpieczeństwa uważają, że grupa jest częścią Głównego Zarządu Wywiadu Rosyjskiego Sztabu Generalnego, czyli GRU.
Naukowcy uważają, że grupa dystrybuuje grafit za pomocą tej techniki od początku września, dodając ponadto, że jej najbardziej prawdopodobnymi celami są organizacje w sektorach obronnym i rządowym, krajów UE, a także Europy Wschodniej.
Od czasu inwazji na Ukrainę nasiliła się cyberwojna między Rosją a Zachodem. W połowie kwietnia tego roku Microsoft poinformował o usunięciu siedmiu domen, które rosyjscy cyberprzestępcy wykorzystywali w cyberatakach na ukraińskie cele, głównie instytucje rządowe i media.
Via: BleepingComputer (otwiera się w nowej karcie)