Исследователи обнаружили новую кампанию кибершпионажа, которая использует опасную уязвимость PowerPoint для доставки вредоносного ПО Graphite на целевые конечные точки. (открывается в новой вкладке) .
Что делает эту кампанию особенно опасной, так это тот факт, что жертвам на самом деле не нужно переходить по ссылке или загружать саму вредоносную программу — для запуска атаки достаточно наведения мыши.
Исследователи кибербезопасности Cluster25 недавно заметили APT28, также известную как Fancy Bear, распространяющую презентацию PowerPoint (.PPT), якобы созданную Организацией экономического сотрудничества и развития (ОЭСР).
В .PPT два слайда, содержащие гиперссылку. Когда жертва наводит указатель мыши на гиперссылку, она запускает сценарий PowerShell с использованием утилиты SyncAppvPublishingServer. Сценарий загружает файл JPEG с именем DSC0002.jpeg из учетной записи Microsoft OneDrive. На самом деле JPEG представляет собой зашифрованный файл .DLL с именем Imapi2.dll. Позже этот файл извлекает и расшифровывает второй .JPEG — вредоносное ПО Graphite в переносимой исполняемой (PE) форме.
Согласно Malpedia, Graphite был впервые обнаружен исследователями Trellix, которые описали его как вредоносное ПО, использующее Microsoft Graph API и OneDrive в качестве C2. Первоначально он развертывался в памяти, и его целью было загрузить агент постэксплуатации Empire.
APT28 — известный злоумышленник, якобы получающий зарплату от России. Эксперты по безопасности считают, что группа является частью Главного разведывательного управления Генерального штаба России, или ГРУ.
Группа распространяет Graphite с помощью этой техники с начала сентября, считают исследователи, добавляя также, что ее наиболее вероятными целями являются организации оборонного и государственного секторов стран ЕС, а также Восточной Европы.
После вторжения в Украину кибервойна между Россией и Западом усилилась. В середине апреля этого года Microsoft сообщила об отключении семи доменов, которые российские киберпреступники использовали для кибератак на украинские объекты, в основном государственные учреждения и СМИ.
Via: BleepingComputer (открывается в новой вкладке)