Pliki PowerPoint są atakowane w celu rozprzestrzeniania tego nowego rosyjskiego złośliwego oprogramowania

Naukowcy odkryli nową kampanię cyberszpiegowską, która wykorzystuje niebezpieczną lukę w zabezpieczeniach programu PowerPoint, aby dostarczać złośliwe oprogramowanie Graphite do docelowych punktów końcowych (otwiera się w nowej karcie).

Tym, co czyni tę kampanię szczególnie niebezpieczną, jest fakt, że ofiary nie muszą w rzeczywistości klikać odsyłacza ani pobierać samego złośliwego oprogramowania – wystarczy najechać kursorem myszy, aby wywołać atak.

Badacze cyberbezpieczeństwa Cluster25 niedawno zauważyli APT28, znany również jako Fancy Bear, rozpowszechniający prezentację PowerPoint (.PPT) udającą, że pochodzi z Organizacji Współpracy Gospodarczej i Rozwoju (OECD).

W .PPT znajdują się dwa slajdy zawierające hiperłącze. Wyjaśniono, że kiedy ofiara najedzie kursorem myszy na hiperłącze, uruchamia skrypt PowerShell, korzystając z narzędzia SyncAppvPublishingServer. Skrypt pobiera plik JPEG o nazwie DSC0002.jpeg z konta Microsoft OneDrive. JPEG to w rzeczywistości zaszyfrowany plik .DLL o nazwie Imapi2.dll. Plik ten później pobiera i odszyfrowuje drugi plik .JPEG — złośliwe oprogramowanie Graphite w postaci przenośnego pliku wykonywalnego (PE).

Jak podaje Malpedia, Graphite został po raz pierwszy odkryty przez badaczy z Trellix, którzy opisali go jako złośliwe oprogramowanie wykorzystujące Microsoft Graph API i OneDrive jako C2. Początkowo był wdrażany w pamięci, a jego celem było pobranie agenta post-exploitation Empire.

APT28 jest dobrze znanym aktorem zajmującym się zagrożeniami, podobno na liście płac Rosji. Eksperci ds. bezpieczeństwa uważają, że grupa jest częścią Głównego Zarządu Wywiadu Rosyjskiego Sztabu Generalnego, czyli GRU.

Naukowcy uważają, że grupa dystrybuuje grafit za pomocą tej techniki od początku września, dodając ponadto, że jej najbardziej prawdopodobnymi celami są organizacje w sektorach obronnym i rządowym, krajów UE, a także Europy Wschodniej.

Od czasu inwazji na Ukrainę nasiliła się cyberwojna między Rosją a Zachodem. W połowie kwietnia tego roku Microsoft poinformował o usunięciu siedmiu domen, które rosyjscy cyberprzestępcy wykorzystywali w cyberatakach na ukraińskie cele, głównie instytucje rządowe i media.

Via: BleepingComputer (otwiera się w nowej karcie)

Źródło

Poprzedni post

Następny post

Pliki PowerPoint są atakowane w celu rozprzestrzeniania tego nowego rosyjskiego złośliwego oprogramowania

Niezbędne oprogramowanie w 2024 r.

Najlepsze kategorie

Najnowsze

Samsung Galaxy Z Flip 5 Teaser Video, przed wydarzeniem Galaxy Unpacked, prezentuje nowy projekt zawiasów, opcje kolorystyczne

Twitter ogranicza liczbę wiadomości prywatnych, które niezweryfikowani użytkownicy mogą wysyłać

Mój ulubiony telefon z Androidem potrafi rzeczy, których nie potrafi mój iPhone 14 Pro Max

ChatGPT na Androida zostanie uruchomiony w przyszłym tygodniu i możesz się wstępnie zarejestrować już teraz

Xiaomi Smart TV 32A, Smart TV 40A, Smart TV 43A z Google TV, głośniki 20W wprowadzone na rynek w Indiach: Cena, dane techniczne

Ta jadalna bateria mogłaby zasilić świat diagnostyki i zrównoważonej energii