Malware-Attacke nach Mausbewegung in PowerPoint-Präsentation

B2B Cyber Security ShortNews

Beitrag teilen

Ein PowerPoint-Dokument führt im Präsentationsmodus nach der ersten Mausbewegung eine Cyberattacke aus. Ein PowerShell-Skript schlägt dann zu und führt die Graphite-Malware aus. Hinter der Attacke soll APT28 stecken, auch bekannt als Fancy Bear.

Die Forscher von Cluster25 sammelten und analysierten ein verseuchtes Dokument, mit dem eine Variante der Graphite-Malware implantiert wurde, die eindeutig mit dem als APT28 (auch bekannt als Fancy Bear, TSAR Team) bekannten Bedrohungsakteur verbunden ist. Dies ist eine APT-Gruppe die der Hauptnachrichtendirektion Russlands des russischen Generalstabs durch eine Anklageschrift des US-Justizministeriums vom Juli 2018 zugeschrieben wird. Das Köderdokument ist eine PowerPoint-Datei, die eine spezielle Codeausführungstechnik ausnutzt: sie wird ausgelöst, wenn der Benutzer den Präsentationsmodus startet und die Maus bewegt. Der Dateistart führt ein PowerShell-Skript aus das einen Dropper von OneDrive herunterlädt und ausführt. Danach wird eine neue PE-Datei (Portable Executable) extrahiert und in sich selbst einfügt, bei der es sich laut Analyse um eine Variante einer Malware-Familie namens Graphite handelt, die die Microsoft Graph-API und OneDrive für die C&C-Kommunikation verwendet.

Anzeige

PowerPoint-Datei lockt mit OECD-Infos

Laut Metadaten der verseuchten PowerPoint-Datei verwendeten die Angreifer eine Vorlage, die möglicherweise mit der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) verknüpft ist. Diese Organisation arbeitet mit Regierungen, politischen Entscheidungsträgern und Bürgern zusammen, um evidenzbasierte internationale Standards zu etablieren und Lösungen für eine Reihe sozialer, wirtschaftlicher und ökologischer Herausforderungen zu finden. Dies ist eine PowerPoint-Datei (PPT), die zwei Folien mit demselben Inhalt enthält, die erste auf Englisch und die zweite auf Französisch. Das Dokument enthält Anweisungen zur Verwendung der in Zoom verfügbaren Interpretationsoption.

Perfide Ausführungstechnik durch Hyperlinks

Dieses PowerPoint nutzt eine Codeausführungstechnik, die durch die Verwendung von Hyperlinks anstelle von „Programm/Makro ausführen“ ausgelöst wird. Sie wird ausgelöst, wenn der Benutzer den Präsentationsmodus startet und die Maus bewegt. Der ausgeführte Code ist ein PowerShell-Skript, das über das Dienstprogramm SyncAppvPublishingServer ausgeführt wird und den Download einer Datei von OneDrive mit einer JPEG-Erweiterung (DSC0002.jpeg) durchführt. Diese wiederum ist eine DLL-Datei, die später entschlüsselt und in den lokalen Pfad C:\ProgramData\lmapi2.dll geschrieben wird.

Der Blog von Cluster25, dem Team von DuskRise hält eine detaillierte technische Analyse zu der neuen Attacke via PowerPoint-Datei bereit.

Mehr bei DuskRise.com

 

Passende Artikel zum Thema

Hackerangriff auf Stromanbieter Tibber

Vor wenigen Tagen gab es einen Hackerangriff auf den Stromanbieter Tibber und seinen Verkaufs-Store. Laut Anbieter haben die Hacker zwar ➡ Weiterlesen

Gratis Entschlüsselungs-Tool für Shrinklocker-Ransomware

Für Opfer von Attacken mit der Shrinklocker-Ransomware hat Bitdefender einen kostenlosen Dekryptor entwickelt um verschlüsselte Dateien wiederherstellen können. Das ursprünglich ➡ Weiterlesen

Security Report deckt Missbrauch von Blockchains für Malware auf

Der neue Internet Security Report von WatchGuard deckt unter anderem die Instrumentalisierung von Blockchains als Hosts für schädliche Inhalte auf. ➡ Weiterlesen

Hacker attackieren statistisches Bundesamt Destatis

Das Statistische Bundesamt - Destatis - wurde Opfer eines Hackerangriff. Da es Hinweise auf ein Datenleck gab, wurde das Meldesystem ➡ Weiterlesen

Leitfaden zur KI-Verordnung

Bitkom veröffentlicht Online-Tool und Leitfaden zum KI-Einsatz in Unternehmen. Zwei Drittel der Unternehmen brauchen Hilfe bei der Umsetzung der KI-Verordnung ➡ Weiterlesen

Bring your own KI

In jedem dritten Unternehmen werden private KI-Zugänge genutzt. Auf der anderen Seite hat bisher nur jedes siebte Unternehmen Regeln zum ➡ Weiterlesen

Datensicherheit: Backup-Strategie ist das Rückgrat

Als Folge des fehlerhaften CrowdStrike Updates im Sommer diesen Jahres kam es bei fast jedem zweiten betroffenen Unternehmen in Deutschland ➡ Weiterlesen

Studie: Digitale Mitarbeitererfahrung verbessert die Cybersicherheit

Neun von zehn Führungskräften sind überzeugt, dass ihr Unternehmen gewinnt, wenn sie digitale Mitarbeitererfahung priorisieren, so die Ergebnisse einer Umfrage. ➡ Weiterlesen