Natuklasan ng mga mananaliksik ang isang bagong kampanyang cyber-espionage na gumagamit ng mapanganib na kahinaan sa PowerPoint upang maihatid ang Graphite malware sa mga target na endpoint. (bubukas sa bagong tab) .
Ang dahilan kung bakit partikular na mapanganib ang kampanyang ito ay ang katotohanan na ang mga biktima ay hindi talaga kailangang mag-click sa isang link, o mag-download mismo ng malware – sapat na ang isang mouse hover upang ma-trigger ang pag-atake.
Nakita kamakailan ng mga mananaliksik ng Cybersecurity na Cluster25 ang APT28, na kilala rin bilang Fancy Bear, na namamahagi ng PowerPoint (.PPT) na presentasyon na nagpapanggap na nagmula sa Organization for Economic Co-Operation and Development (OECD).
Sa .PPT ay dalawang slide, na naglalaman ng hyperlink. Kapag ini-hover ng biktima ang kanilang mouse sa hyperlink, nagti-trigger ito ng PowerShell script, gamit ang SyncAppvPublishingServer utility, ipinaliwanag ito. Nagda-download ang script ng JPEG file na may pamagat na DSC0002.jpeg mula sa isang Microsoft OneDrive account. Ang JPEG ay, sa katunayan, isang naka-encrypt na .DLL file na tinatawag na Imapi2.dll. Ang file na ito ay humihila at nagde-decrypt ng pangalawang .JPEG – ang Graphite malware sa portable executable (PE) form.
Ayon sa Malpedia, ang Graphite ay unang natuklasan ng mga mananaliksik sa Trellix, na inilarawan ito bilang malware na gumagamit ng Microsoft Graph API at OneDrive bilang C2 nito. Sa una, ito ay ini-deploy sa memorya, at ang layunin nito ay i-download ang Empire post-exploitation agent.
Ang APT28 ay isang kilalang threat actor, na sinasabing nasa payroll ng Russia. Naniniwala ang mga eksperto sa seguridad na ang grupo ay bahagi ng Main Intelligence Directorate ng Russian General Staff, o GRU.
Ang grupo ay namamahagi ng Graphite sa pamamagitan ng diskarteng ito mula noong unang bahagi ng Setyembre, naniniwala ang mga mananaliksik, na higit pang idinagdag na ang pinaka-malamang na mga target nito ay mga organisasyon sa depensa at sektor ng gobyerno, ng mga bansa sa EU, pati na rin ang Silangang Europa.
Mula pa noong pagsalakay sa Ukraine, tumindi ang cyber-war sa pagitan ng Russia at Kanluran. Noong kalagitnaan ng Abril ngayong taon, iniulat ng Microsoft na tinanggal ang pitong domain na ginagamit ng mga cybercriminal ng Russia sa cyberattacks laban sa mga target na Ukrainian, karamihan sa mga institusyon ng gobyerno at media.
Sa pamamagitan ng: BleepingComputer (bubukas sa bagong tab)