प्रेजेंटेशन मोड में एक पॉवरपॉइंट दस्तावेज़ पहले माउस मूवमेंट के बाद साइबर अटैक करता है। एक PowerShell स्क्रिप्ट तब ग्रेफाइट मैलवेयर पर हमला करती है और चलाती है। APT28, जिसे Fancy Bear के नाम से भी जाना जाता है, हमले के पीछे बताया जा रहा है।
Cluster25 शोधकर्ताओं ने एक दुर्भावनापूर्ण दस्तावेज़ एकत्र किया और उसका विश्लेषण किया जिसका उपयोग स्पष्ट रूप से APT28 (उर्फ फैंसी बियर, TSAR टीम) के रूप में जाने जाने वाले खतरे वाले अभिनेता से जुड़े ग्रेफाइट मैलवेयर के एक प्रकार को प्रत्यारोपित करने के लिए किया गया था। यह एक APT समूह है जिसे जुलाई 2018 के अमेरिकी न्याय विभाग के अभियोग द्वारा रूसी जनरल स्टाफ के रूस के मुख्य खुफिया निदेशालय को जिम्मेदार ठहराया गया है। चारा दस्तावेज़ एक PowerPoint फ़ाइल है जो एक विशेष कोड निष्पादन तकनीक का उपयोग करती है: जब उपयोगकर्ता प्रस्तुति मोड शुरू करता है और माउस को स्थानांतरित करता है तो यह ट्रिगर हो जाता है। फ़ाइल लॉन्च एक PowerShell स्क्रिप्ट चलाती है जो OneDrive से ड्रॉपर को डाउनलोड और चलाती है। उसके बाद, यह अपने आप में एक नई PE (पोर्टेबल एक्ज़ीक्यूटेबल) फ़ाइल निकालता और सम्मिलित करता है, जिसका विश्लेषण ग्रेफाइट नामक मैलवेयर परिवार के एक संस्करण के रूप में किया गया है, जो C&C संचार के लिए Microsoft ग्राफ़ API और OneDrive का उपयोग करता है।
PowerPoint फ़ाइल OECD जानकारी के साथ आकर्षित करती है
संक्रमित पॉवरपॉइंट फ़ाइल के मेटाडेटा के अनुसार, हमलावरों ने एक टेम्पलेट का उपयोग किया जो आर्थिक सहयोग और विकास संगठन (OECD) से जुड़ा हो सकता है। यह संगठन साक्ष्य-आधारित अंतरराष्ट्रीय मानकों को स्थापित करने और सामाजिक, आर्थिक और पर्यावरणीय चुनौतियों की एक श्रृंखला का समाधान खोजने के लिए सरकारों, नीति निर्माताओं और नागरिकों के साथ काम करता है। यह एक PowerPoint फ़ाइल (PPT) है जिसमें समान सामग्री वाली दो स्लाइड हैं, पहली अंग्रेज़ी में और दूसरी फ़्रेंच में। दस्तावेज़ ज़ूम में उपलब्ध व्याख्या विकल्प का उपयोग करने के तरीके के बारे में निर्देश प्रदान करता है।
हाइपरलिंक्स के माध्यम से विश्वासघाती निष्पादन तकनीक
यह PowerPoint एक कोड निष्पादन तकनीक का उपयोग करता है जिसे "रन प्रोग्राम/मैक्रो" के बजाय हाइपरलिंक्स का उपयोग करके ट्रिगर किया जाता है। जब उपयोगकर्ता प्रेजेंटेशन मोड शुरू करता है और माउस को घुमाता है तो यह चालू हो जाता है। निष्पादित किया जा रहा कोड एक PowerShell स्क्रिप्ट है जो SyncAppvPublishingServer यूटिलिटी से चलती है और JPEG एक्सटेंशन (DSC0002.jpeg) के साथ OneDrive से फ़ाइल डाउनलोड करती है। यह बदले में एक DLL फ़ाइल है जिसे बाद में डिक्रिप्ट किया जाता है और स्थानीय पथ C:\ProgramData\lmapi2.dll पर लिखा जाता है।
डस्कराइज़ टीम, क्लस्टर25 का ब्लॉग, पॉवरपॉइंट फ़ाइल के माध्यम से नए हमले का विस्तृत तकनीकी विश्लेषण प्रदान करता है।
DuskRise.com पर अधिक