Raziskovalci so odkrili novo kampanjo kibernetskega vohunjenja, ki izkorišča nevarno ranljivost PowerPointa za dostavo zlonamerne programske opreme Graphite do ciljnih končnih točk. (odpre se v novem zavihku) .
Kar naredi to kampanjo še posebej nevarno, je dejstvo, da žrtvam dejansko ni treba klikniti povezave ali prenesti same zlonamerne programske opreme – dovolj je lebdenje z miško, da sproži napad.
Raziskovalci kibernetske varnosti Cluster25 so pred kratkim opazili APT28, znanega tudi kot Fancy Bear, ki distribuira predstavitev PowerPoint (.PPT), ki se pretvarja, da prihaja iz Organizacije za gospodarsko sodelovanje in razvoj (OECD).
V .PPT sta dva diapozitiva, ki vsebujeta hiperpovezavo. Ko žrtev premakne miško nad hiperpovezavo, sproži skript PowerShell z uporabo pripomočka SyncAppvPublishingServer, je bilo pojasnjeno. Skript prenese datoteko JPEG z naslovom DSC0002.jpeg iz računa Microsoft OneDrive. JPEG je pravzaprav šifrirana datoteka .DLL z imenom Imapi2.dll. Ta datoteka pozneje potegne in dešifrira drugi .JPEG – zlonamerno programsko opremo Graphite v obliki prenosne izvršljive datoteke (PE).
Kot poroča Malpedia, so Graphite prvi odkrili raziskovalci pri Trellixu, ki so ga opisali kot zlonamerno programsko opremo, ki uporablja Microsoft Graph API in OneDrive kot C2. Sprva je bil nameščen v pomnilniku, njegov cilj pa je bil prenesti agenta Empire po izkoriščanju.
APT28 je dobro znan igralec groženj, ki naj bi bil na plačilnem seznamu Rusije. Varnostni strokovnjaki verjamejo, da je skupina del glavne obveščevalne uprave ruskega generalštaba ali GRU.
Skupina distribuira Graphite s to tehniko od začetka septembra, verjamejo raziskovalci in dodajajo, da so njene najverjetnejše tarče organizacije v obrambnem in vladnem sektorju, v državah EU in vzhodne Evrope.
Vse od invazije na Ukrajino se je kibernetska vojna med Rusijo in Zahodom okrepila. Sredi aprila letos je Microsoft poročal o uničenju sedmih domen, ki so jih ruski kibernetski kriminalci uporabljali v kibernetskih napadih na ukrajinske cilje, večinoma vladne institucije in medije.
Via: BleepingComputer (odpre se v novem zavihku)