Κακόβουλοι παράγοντες που πιθανότατα έχουν έδρα τη Ρωσία, χρησιμοποιούν μια νέα τεχνική εκτέλεσης κώδικα που βασίζεται στην κίνηση του ποντικιού, ενεργοποιώντας ένα κακόβουλο σενάριο PowerShell σε παρουσιάσεις Microsoft PowerPoint.
Δείτε επίσης: Πώς να χρησιμοποιήσετε ένα live camera feed στο Microsoft Powerpoint
Δεν απαιτείται κακόβουλη μακροεντολή για την εκτέλεση και λήψη του ωφέλιμου φορτίου από τον κακόβουλο κώδικα, για μια πιο ύπουλη επίθεση.
Μια αναφορά από την εταιρεία κυβερνοαπειλών Cluster25, λέει ότι η APT28 (γνωστή και ως «Fancy Bear»), μια ομάδα απειλών που συνδέεται με την Κύρια Διεύθυνση Πληροφοριών του Ρωσικού Γενικού Επιτελείου, χρησιμοποίησε τη νέα τεχνική για την παράδοση του κακόβουλου λογισμικού Graphite στις 9 Σεπτεμβρίου.
Ο παράγοντας απειλών δελεάζει τους στόχους με ένα αρχείο PowerPoint (.PPT) που φέρεται να συνδέεται με τον Οργανισμό Οικονομικής Συνεργασίας και Ανάπτυξης (ΟΟΣΑ), έναν διακυβερνητικό οργανισμό που εργάζεται για την τόνωση της οικονομικής προόδου και του εμπορίου παγκοσμίως.
Μέσα στο αρχείο PPT υπάρχουν δύο διαφάνειες, αμφότερες με οδηγίες στα αγγλικά και στα γαλλικά για τη χρήση της επιλογής Ερμηνεία στην εφαρμογή τηλεδιάσκεψης Zoom.
Το αρχείο PPT περιέχει ένα hyperlink που λειτουργεί ως έναυσμα για την εκκίνηση ενός κακόβουλου σεναρίου PowerShell χρησιμοποιώντας το βοηθητικό πρόγραμμα SyncAppvPublishingServer. Αυτή η τεχνική έχει τεκμηριωθεί από τον Ιούνιο του 2017. Πολλοί ερευνητές εξήγησαν εκείνη τη στιγμή πώς λειτουργεί η μόλυνση χωρίς μια κακόβουλη μακροεντολή να είναι ένθετη μέσα σε ένα έγγραφο του Office.
Με βάση τα μεταδεδομένα που βρέθηκαν, το Cluster25 λέει ότι οι χάκερ ετοίμαζαν την καμπάνια μεταξύ Ιανουαρίου και Φεβρουαρίου, αν και οι διευθύνσεις URL που χρησιμοποιήθηκαν στις επιθέσεις εμφανίστηκαν ενεργές τον Αύγουστο και τον Σεπτέμβριο.
Δείτε ακόμα: PowerPoint αρχεία χρησιμοποιούνται για τη διανομή RATs και info-stealers
Οι ερευνητές λένε ότι ο παράγοντας απειλής στοχεύει οντότητες στον αμυντικό και κυβερνητικό τομέα χωρών της Ευρωπαϊκής Ένωσης και της Ανατολικής Ευρώπης και πιστεύουν ότι η εκστρατεία κατασκοπείας βρίσκεται σε εξέλιξη.
Όταν ανοίγει το έγγραφο δέλεαρ σε λειτουργία παρουσίασης και το θύμα τοποθετεί το ποντίκι πάνω από ένα hyperlink, ενεργοποιείται ένα κακόβουλο σενάριο PowerShell για τη λήψη ενός αρχείου JPEG (“DSC0002.jpeg”) από έναν λογαριασμό Microsoft OneDrive.
Το JPEG είναι ένα κρυπτογραφημένο αρχείο DLL (lmapi2.dll), το οποίο αποκρυπτογραφείται και αποτίθεται στον κατάλογο ‘C:\ProgramData\‘, αργότερα εκτελείται μέσω του rundll32.exe. Ένα κλειδί μητρώου για επιμονή δημιουργείται επίσης για το DLL.
Στη συνέχεια, το lmapi2.dll ανακτά και αποκρυπτογραφεί ένα δεύτερο αρχείο JPEG και το φορτώνει στη μνήμη, σε ένα νέο νήμα που είχε δημιουργηθεί προηγουμένως από το DLL.
Το Cluster25 διευκρινίζει ότι καθεμία από τις συμβολοσειρές στο αρχείο που ανακτήθηκε πρόσφατα απαιτεί διαφορετικό κλειδί XOR για απεμπλοκή. Το ωφέλιμο φορτίο που προκύπτει είναι το κακόβουλο λογισμικό Graphite σε φορητή εκτελέσιμη μορφή (PE).
Δείτε επίσης: Πώς να αλλάξετε το φόντο στο Microsoft PowerPoint
Το Graphite κάνει κατάχρηση του Microsoft Graph API και του OneDrive για την επικοινωνία με τον διακομιστή εντολών και ελέγχου (C2). Ο παράγοντας απειλής έχει πρόσβαση στην υπηρεσία χρησιμοποιώντας ένα σταθερό αναγνωριστικό πελάτη για να αποκτήσει ένα έγκυρο διακριτικό OAuth2.
Με το νέο διακριτικό OAuth2, το Graphite ρωτά τα Microsoft GraphAPI για νέες εντολές απαριθμώντας τα θυγατρικά αρχεία στον υποκατάλογο ελέγχου OneDrive, εξηγούν οι ερευνητές.
Ο σκοπός του κακόβουλου λογισμικού Graphite είναι να επιτρέψει στον εισβολέα να φορτώσει άλλο κακόβουλο λογισμικό στη μνήμη του συστήματος.
