Un documento PowerPoint in modalità presentazione esegue un attacco informatico dopo il primo movimento del mouse. Uno script PowerShell quindi colpisce ed esegue il malware Graphite. Si dice che dietro l'attacco ci sia APT28, noto anche come Fancy Bear.
I ricercatori di Cluster25 hanno raccolto e analizzato un documento dannoso che è stato utilizzato per impiantare una variante del malware Graphite chiaramente associata all'attore della minaccia noto come APT28 (alias Fancy Bear, TSAR Team). Si tratta di un gruppo APT attribuito alla Direzione capo dell'intelligence della Russia dello Stato maggiore russo da un atto d'accusa del Dipartimento di giustizia degli Stati Uniti del luglio 2018. Il documento esca è un file PowerPoint che sfrutta una speciale tecnica di esecuzione del codice: viene attivato quando l'utente avvia la modalità di presentazione e sposta il mouse. L'avvio del file esegue uno script di PowerShell che scarica ed esegue un contagocce da OneDrive. Successivamente, estrae e inserisce in sé un nuovo file PE (Portable Executable), che è stato analizzato come una variante di una famiglia di malware chiamata Graphite, che utilizza l'API Microsoft Graph e OneDrive per la comunicazione C&C.
Il file PowerPoint attira con le informazioni dell'OCSE
Secondo i metadati del file PowerPoint infetto, gli aggressori hanno utilizzato un modello che potrebbe essere associato all'Organizzazione per la cooperazione e lo sviluppo economico (OCSE). Questa organizzazione lavora con governi, responsabili politici e cittadini per stabilire standard internazionali basati su prove e trovare soluzioni a una serie di sfide sociali, economiche e ambientali. Si tratta di un file PowerPoint (PPT) contenente due slide con lo stesso contenuto, la prima in inglese e la seconda in francese. Il documento fornisce istruzioni su come utilizzare l'opzione di interpretazione disponibile in Zoom.
Perfida tecnica di esecuzione tramite collegamenti ipertestuali
Questo PowerPoint utilizza una tecnica di esecuzione del codice che viene attivata utilizzando collegamenti ipertestuali invece di "esegui programma/macro". Viene attivato quando l'utente avvia la modalità di presentazione e sposta il mouse. Il codice in esecuzione è uno script di PowerShell, eseguito dall'utilità SyncAppvPublishingServer, che scarica un file da OneDrive con estensione JPEG (DSC0002.jpeg). Questo a sua volta è un file DLL che viene successivamente decrittografato e scritto nel percorso locale C:\ProgramData\lmapi2.dll.
Il blog di Cluster25, il team di DuskRise, fornisce un'analisi tecnica dettagliata del nuovo attacco tramite file PowerPoint.
Altro su DuskRise.com