Hina-hack ang mga PowerPoint file para maikalat ang bagong malware na ito sa Russia

TechRadar
Septiyembre 28
Ibahagi ang post

Natuklasan ng mga mananaliksik ang isang bagong kampanyang cyber-espionage na gumagamit ng mapanganib na kahinaan sa PowerPoint upang maihatid ang Graphite malware sa mga target na endpoint. (bubukas sa bagong tab).

Ang dahilan kung bakit partikular na mapanganib ang kampanyang ito ay ang katotohanan na ang mga biktima ay hindi talaga kailangang mag-click sa isang link, o mag-download mismo ng malware – sapat na ang isang mouse hover upang ma-trigger ang pag-atake.

Nakita kamakailan ng mga mananaliksik ng Cybersecurity na Cluster25 ang APT28, na kilala rin bilang Fancy Bear, na namamahagi ng PowerPoint (.PPT) na presentasyon na nagpapanggap na nagmula sa Organization for Economic Co-Operation and Development (OECD).

Sa .PPT ay dalawang slide, na naglalaman ng hyperlink. Kapag ini-hover ng biktima ang kanilang mouse sa hyperlink, nagti-trigger ito ng PowerShell script, gamit ang SyncAppvPublishingServer utility, ipinaliwanag ito. Nagda-download ang script ng JPEG file na may pamagat na DSC0002.jpeg mula sa isang Microsoft OneDrive account. Ang JPEG ay, sa katunayan, isang naka-encrypt na .DLL file na tinatawag na Imapi2.dll. Ang file na ito ay humihila at nagde-decrypt ng pangalawang .JPEG – ang Graphite malware sa portable executable (PE) form.

Ayon sa Malpedia, ang Graphite ay unang natuklasan ng mga mananaliksik sa Trellix, na inilarawan ito bilang malware na gumagamit ng Microsoft Graph API at OneDrive bilang C2 nito. Sa una, ito ay ini-deploy sa memorya, at ang layunin nito ay i-download ang Empire post-exploitation agent.

Ang APT28 ay isang kilalang threat actor, na sinasabing nasa payroll ng Russia. Naniniwala ang mga eksperto sa seguridad na ang grupo ay bahagi ng Main Intelligence Directorate ng Russian General Staff, o GRU.

Ang grupo ay namamahagi ng Graphite sa pamamagitan ng diskarteng ito mula noong unang bahagi ng Setyembre, naniniwala ang mga mananaliksik, na higit pang idinagdag na ang pinaka-malamang na mga target nito ay mga organisasyon sa depensa at sektor ng gobyerno, ng mga bansa sa EU, pati na rin ang Silangang Europa.

Mula pa noong pagsalakay sa Ukraine, tumindi ang cyber-war sa pagitan ng Russia at Kanluran. Noong kalagitnaan ng Abril ngayong taon, iniulat ng Microsoft na tinanggal ang pitong domain na ginagamit ng mga cybercriminal ng Russia sa cyberattacks laban sa mga target na Ukrainian, karamihan sa mga institusyon ng gobyerno at media.

Sa pamamagitan ng: BleepingComputer (bubukas sa bagong tab)

pinagmulan

nakaraang Post

susunod na Post

Hina-hack ang mga PowerPoint file para maikalat ang bagong malware na ito sa Russia

Dapat magkaroon ng software sa 2024

Nangungunang mga kategorya

Pinakabagong mga review

Samsung Galaxy Z Flip 5 Teaser Video, Nauna sa Galaxy Unpacked Event, Nagpapakita ng Bagong Disenyo ng Bisagra, Mga Opsyon sa Kulay

Nililimitahan ng Twitter ang bilang ng mga DM na hindi na-verify na mga user na maaaring ipadala

Nagagawa ng paborito kong Android phone ang mga bagay na hindi kaya ng iPhone 14 Pro Max ko

Ang ChatGPT para sa Android ay ilulunsad sa susunod na linggo, at maaari kang mag-preregister ngayon

Xiaomi Smart TV 32A, Smart TV 40A, Smart TV 43A Gamit ang Google TV, 20W Speaker Inilunsad sa India: : Presyo, Mga Detalye

Mapapagana ng nakakain na bateryang ito ang mundo ng mga diagnostic at napapanatiling enerhiya