Badacze odkryli nową kampanię cyberszpiegowską, która wykorzystuje niebezpieczną lukę w zabezpieczeniach programu PowerPoint do dostarczania złośliwego oprogramowania Graphite na docelowe urządzenia (Otwiera się w nowej karcie).
To, co sprawia, że ta kampania jest szczególnie niebezpieczna, to fakt, że ofiary nie muszą klikać odsyłacza ani pobierać samego szkodliwego oprogramowania – wystarczy poruszyć myszką, aby wywołać atak.
Analitycy Cluster25 ds. cyberbezpieczeństwa odkryli niedawno, że APT28, znany również jako Fancy Bear, rozpowszechniał prezentację programu PowerPoint (.PPT), która rzekomo pochodziła od Organizacji Współpracy Gospodarczej i Rozwoju (OECD).
W pliku .PPT znajdują się dwa slajdy zawierające hiperłącze. Wyjaśniono, że kiedy ofiara najeżdża kursorem myszy na hiperłącze, uruchamia skrypt PowerShell za pomocą narzędzia SyncAppvPublishingServer. Skrypt pobiera plik JPEG o nazwie DSC0002.jpeg z konta Microsoft OneDrive. Plik JPEG jest w rzeczywistości zaszyfrowanym plikiem .DLL o nazwie Imapi2.dll. Ten plik następnie wyodrębnia i odszyfrowuje drugi plik .JPEG: złośliwe oprogramowanie Graphite jako przenośny plik wykonywalny (PE).
Według Malpedii Graphite został po raz pierwszy odkryty przez badaczy Trellix, którzy opisali go jako złośliwe oprogramowanie wykorzystujące Microsoft Graph API i OneDrive jako C2. Początkowo zaimplementowany był w pamięci, a jego celem było pobranie agenta posteksploatacyjnego Imperium.
APT28 jest dobrze znanym ugrupowaniem cyberprzestępczym, podobno na rosyjskiej liście płac. Eksperci ds. bezpieczeństwa uważają, że grupa jest częścią Głównego Zarządu Wywiadu Sztabu Generalnego Rosji (GRU).
Naukowcy uważają, że grupa dystrybuuje Graphite za pomocą tej techniki od początku września, dodając, że najbardziej prawdopodobnymi celami są organizacje z sektora obronnego i rządowego, z krajów UE, a także Europy Wschodniej.
Od czasu inwazji na Ukrainę cyberwojna między Rosją a Zachodem nasiliła się. W połowie kwietnia tego roku Microsoft poinformował, że usunął siedem domen, które rosyjscy cyberprzestępcy wykorzystywali do cyberataków na ukraińskie cele, głównie instytucje rządowe i media.
Przez: BleepingComputer (Otwiera się w nowej karcie)