プレゼンテーション モードの PowerPoint ドキュメントは、最初のマウス移動の後にサイバー攻撃を実行します。 その後、PowerShell スクリプトが攻撃を開始し、Graphite マルウェアを実行します。 Fancy Bear としても知られる APT28 が攻撃の背後にいると言われています。
Cluster25 の研究者は、APT28 (別名 Fancy Bear、TSAR チーム) として知られる攻撃者と明確に関連付けられている Graphite マルウェアの亜種を埋め込むために使用された悪意のあるドキュメントを収集して分析しました。 これは、2018 年 XNUMX 月の米国司法省の起訴により、ロシア参謀本部のロシア最高情報局に起因する APT グループです。 おとりドキュメントは、特別なコード実行技術を悪用する PowerPoint ファイルで、ユーザーがプレゼンテーション モードを開始してマウスを動かすとトリガーされます。 ファイルの起動により、OneDrive からドロッパーをダウンロードして実行する PowerShell スクリプトが実行されます。 その後、新しい PE (Portable Executable) ファイルを抽出して自身に挿入します。このファイルは、C&C 通信に Microsoft Graph API と OneDrive を使用する Graphite と呼ばれるマルウェア ファミリの亜種であると分析されています。
PowerPoint ファイルは OECD の情報でおびき寄せる
感染した PowerPoint ファイルのメタデータによると、攻撃者は、経済協力開発機構 (OECD) に関連している可能性があるテンプレートを使用していました。 この組織は、政府、政策立案者、市民と協力して、証拠に基づく国際基準を確立し、さまざまな社会的、経済的、環境的課題に対する解決策を見つけています。 これは、同じ内容の XNUMX つのスライド (最初は英語、XNUMX 番目はフランス語) を含む PowerPoint ファイル (PPT) です。 このドキュメントでは、Zoom で利用できる通訳オプションの使用方法について説明しています。
ハイパーリンクを介した悪質な実行手法
この PowerPoint は、「プログラム/マクロの実行」ではなく、ハイパーリンクを使用してトリガーされるコード実行手法を使用しています。 ユーザーがプレゼンテーション モードを開始してマウスを動かすと、トリガーされます。 実行されているコードは、SyncAppvPublishingServer ユーティリティから実行される PowerShell スクリプトで、OneDrive から JPEG 拡張子 (DSC0002.jpeg) を持つファイルをダウンロードします。 これは、後で復号化され、ローカル パス C:\ProgramData\lmapi2.dll に書き込まれる DLL ファイルです。
DuskRise チームの Cluster25 によるブログでは、PowerPoint ファイルを介して新しい攻撃の詳細な技術分析を提供しています。
詳細は DuskRise.com で