Un document PowerPoint en mode présentation effectue une cyberattaque après le premier mouvement de la souris. Un script PowerShell frappe alors et exécute le malware Graphite. APT28, également connu sous le nom de Fancy Bear, serait à l'origine de l'attaque.
Les chercheurs de Cluster25 ont collecté et analysé un document malveillant qui a été utilisé pour implanter une variante du malware Graphite clairement associée à l'acteur menaçant connu sous le nom d'APT28 (alias Fancy Bear, TSAR Team). Il s'agit d'un groupe APT attribué à la Direction générale du renseignement de Russie de l'état-major général russe par un acte d'accusation du ministère américain de la Justice de juillet 2018. Le document appât est un fichier PowerPoint qui exploite une technique d'exécution de code spéciale : il est déclenché lorsque l'utilisateur démarre le mode présentation et déplace la souris. Le lancement du fichier exécute un script PowerShell qui télécharge et exécute un compte-gouttes à partir de OneDrive. Après cela, il extrait et insère un nouveau fichier PE (Portable Executable) en lui-même, qui a été analysé comme étant une variante d'une famille de logiciels malveillants appelée Graphite, qui utilise l'API Microsoft Graph et OneDrive pour la communication C&C.
Fichier PowerPoint leurres avec des informations de l'OCDE
Selon les métadonnées du fichier PowerPoint infecté, les attaquants ont utilisé un modèle qui peut être associé à l'Organisation de coopération et de développement économiques (OCDE). Cette organisation travaille avec les gouvernements, les décideurs et les citoyens pour établir des normes internationales fondées sur des données probantes et trouver des solutions à une série de défis sociaux, économiques et environnementaux. Il s'agit d'un fichier PowerPoint (PPT) contenant deux diapositives ayant le même contenu, la première en anglais et la seconde en français. Le document fournit des instructions sur la façon d'utiliser l'option d'interprétation disponible dans Zoom.
Technique d'exécution perfide par hyperliens
Ce PowerPoint utilise une technique d'exécution de code déclenchée par l'utilisation d'hyperliens au lieu de "exécuter le programme/la macro". Il est déclenché lorsque l'utilisateur démarre le mode présentation et déplace la souris. Le code en cours d'exécution est un script PowerShell, exécuté à partir de l'utilitaire SyncAppvPublishingServer, qui télécharge un fichier depuis OneDrive avec une extension JPEG (DSC0002.jpeg). Il s'agit à son tour d'un fichier DLL qui est ensuite déchiffré et écrit dans le chemin local C:\ProgramData\lmapi2.dll.
Le blog de Cluster25, l'équipe DuskRise, fournit une analyse technique détaillée de la nouvelle attaque via un fichier PowerPoint.
Plus sur DuskRise.com