Forskare har avslöjat en ny cyberspionagekampanj som utnyttjar en farlig PowerPoint-sårbarhet för att leverera Graphite malware till målslutpunkter (öppnas i ny flik) .
Det som gör den här kampanjen särskilt farlig är det faktum att offren faktiskt inte behöver klicka på en länk eller ladda ner själva skadliga programvaran – det räcker med att sväva med musen för att utlösa attacken.
Cybersäkerhetsforskare Cluster25 såg nyligen APT28, även känd som Fancy Bear, distribuera en PowerPoint-presentation (.PPT) som låtsades komma från Organisationen för ekonomiskt samarbete och utveckling (OECD).
I .PPT finns två bilder som innehåller en hyperlänk. När offret för musen över hyperlänken utlöser det ett PowerShell-skript med hjälp av verktyget SyncAppvPublishingServer, förklarades det. Skriptet laddar ner en JPEG-fil med titeln DSC0002.jpeg från ett Microsoft OneDrive-konto. JPEG är i själva verket en krypterad .DLL-fil som heter Imapi2.dll. Den här filen hämtar och dekrypterar senare en andra .JPEG – Graphite malware i portable executable (PE) form.
Enligt Malpedia upptäcktes Graphite först av forskare vid Trellix, som beskrev det som skadlig programvara som använder Microsoft Graph API och OneDrive som sin C2. Inledningsvis distribuerades den i minnet, och dess mål var att ladda ner Empire-agenten efter exploateringen.
APT28 är en välkänd hotaktör, som påstås vara på Rysslands lönelista. Säkerhetsexperter tror att gruppen är en del av den ryska generalstabens underrättelsedirektorat, eller GRU.
Gruppen har distribuerat grafit via denna teknik sedan början av september, tror forskarna, och tillägger vidare att dess mest sannolika mål är organisationer inom försvars- och statliga sektorer, länder i EU, såväl som Östeuropa.
Ända sedan invasionen av Ukraina har cyberkriget mellan Ryssland och västvärlden intensifierats. I mitten av april i år rapporterade Microsoft att de tagit ner sju domäner som ryska cyberbrottslingar använde i cyberattacker mot ukrainska mål, främst statliga institutioner och media.
via: BleepingComputer (öppnas i ny flik)