Новости IT

Хакеры используют событие наведения курсора мыши в PowerPoint для распространения вредоносного ПО

 

Исследователи кибербезопасности обнаруживают файл PowerPoint, который запускает выполнение кода PowerShell для имплантации варианта Graphite.

 

- Исследователи кибербезопасности проанализировали документ-приманку, который использовался для внедрения варианта  вредоносного ПО Graphite , связанного со злоумышленником, известным как APT28.

- В этом  PowerPoint  используется метод выполнения кода, который срабатывает, когда пользователь запускает режим презентации и перемещает мышь.

- Вредоносная программа взаимодействует с системой управления и контроля, используя службу Microsoft Graph, чтобы оставаться незамеченной.

Исследователи из Cluster25 объявили, что они проанализировали документ-приманку, который связан со злоумышленником, известным как APT28 или также известным как Fancy Bear или TSAR Team. Согласно обвинительному заключению Министерства юстиции США от июля 2018 года, группа приписывается Главному разведывательному управлению Генерального штаба России. Хакеры используют файл PowerPoint в качестве документа-приманки для распространения вредоносного ПО.

Вариант вредоносного ПО Graphite.

В документе используется метод выполнения кода, который срабатывает, когда пользователь активирует режим презентации и перемещает мышь. Он запускает сценарий PowerShell для загрузки и выполнения дроппера с помощью OneDrive. Затем он загружает полезную нагрузку, способную извлекать и внедрять новый исполняемый файл. Согласно результатам анализа, это вариант печально известного семейства вредоносных программ Graphite, использующий Microsoft Graph API и OneDrive для командной связи.

Злоумышленники используют шаблон, в основном связанный с Организацией экономического сотрудничества и развития. Файл Powerpoint содержит два слайда, английскую и французскую версии одного и того же содержания. Он запускается при использовании гиперссылок вместо запуска программы/макроса. Достаточно щелкнуть мышью после запуска режима презентации, чтобы запустить выполнение кода.

Для командной связи вредоносное ПО использует доменный граф[.]Microsoft[.]com. Он злоупотребляет службой Microsoft Graph, API Web RESSTful, который обеспечивает доступ к ресурсам облачных служб. Чтобы получить новый токен OAuth2 для доступа к службе, конечная точка login[.]microsoftonline[.]com/common/oauth2/v2.0/token связывается с использованием фиксированного идентификатора клиента. После получения он будет запрашивать у Microsoft GraphAPI новые команды. Если в подкаталоге OneDrive обнаружен новый файл, он загружается и расшифровывается с помощью алгоритма дешифрования AES-256-CBC. На последнем этапе вредоносное ПО разрешает удаленное выполнение команды, выделяя новую область памяти и выполняя полученный шелл-код, вызывая новый выделенный поток. Cluster25 сказал:

«Согласно извлеченным метаданным, злоумышленники работали над подготовкой кампании в период с января по февраль 2022 года. Однако оба URL-адреса, использованные злоумышленниками, оказались активными еще недавно (3 квартал 2022 года). Кроме того, было бы интересно отметить, что в соответствии с видимостью, которой мы можем распоряжаться, ограниченные попадания телеметрии, связанные с собранными артефактами, были перехвачены 25.08.2022 и 09.09.2022 из двух стран Европейского Союза (мы нет данных до 25.08.2022).

Такие недавние данные могут свидетельствовать о продолжающихся действиях, связанных с описанной угрозой или некоторыми ее вариантами. Наконец, основываясь на нескольких индикаторах, геополитических целях и проанализированных артефактах, Cluster25 приписывает эту кампанию связанному с Россией субъекту угрозы, известному как APT28 (он же Fancy Bear, TSAR Team, Pawn Storm, Sednit), и указывает на организации и отдельных лиц, действующих в сфере обороны. И государственные секторы Европы и стран Восточной Европы в качестве потенциальных целей. »

Хостинг для сайта в Беларуси.

Наши контакты

Офис: Республика Беларусь, г. Жодино, ул. Сухогрядская 1, ком 3

Почтовый адрес: 222161, Республика Беларусь, Минская область, город Жодино, а/я 9

Sales: +375(29)335-00-93
Support: 375(29)335-00-94
Режим работы:  24/7
Поддержка осуществляется через личный кабинет (биллинг)

Акции и скидки

Не упустите момент и воспользуйтесь актуальными скидками и предложениями на наши услуги!