Sunum modundaki bir PowerPoint belgesi, farenin ilk hareketinden sonra siber saldırı gerçekleştirir. Daha sonra bir PowerShell komut dosyası, Graphite kötü amaçlı yazılımını vurur ve çalıştırır. Saldırının arkasında Fancy Bear olarak da bilinen APT28'in olduğu söyleniyor.
Cluster25 araştırmacıları, APT28 (aka Fancy Bear, TSAR Ekibi) olarak bilinen tehdit aktörüyle açıkça ilişkili olan Graphite kötü amaçlı yazılımının bir çeşidini yerleştirmek için kullanılan kötü amaçlı bir belgeyi topladı ve analiz etti. Bu, Temmuz 2018 ABD Adalet Bakanlığı iddianamesi ile Rusya Genelkurmay Başkanlığı'nın Rusya Baş İstihbarat Müdürlüğü'ne atfedilen bir APT grubudur. Yem belgesi, özel bir kod yürütme tekniğinden yararlanan bir PowerPoint dosyasıdır: kullanıcı sunum modunu başlattığında ve fareyi hareket ettirdiğinde tetiklenir. Dosya başlatma, OneDrive'dan bir damlalık indiren ve çalıştıran bir PowerShell betiği çalıştırır. Ardından, Microsoft Graph API ve C&C iletişimi için OneDrive kullanan Graphite adlı bir kötü amaçlı yazılım ailesinin bir çeşidi olduğu analiz edilen yeni bir PE (Taşınabilir Yürütülebilir) dosyasını ayıklar ve kendi içine ekler.
PowerPoint dosyası OECD bilgileriyle cezbediyor
Etkilenen PowerPoint dosyasının meta verilerine göre, saldırganlar Ekonomik İşbirliği ve Kalkınma Örgütü (OECD) ile ilişkili olabilecek bir şablon kullandı. Bu kuruluş, kanıta dayalı uluslararası standartlar oluşturmak ve bir dizi sosyal, ekonomik ve çevresel zorluğa çözüm bulmak için hükümetler, politika yapıcılar ve vatandaşlarla birlikte çalışır. Bu, birincisi İngilizce ve ikincisi Fransızca olmak üzere aynı içeriğe sahip iki slayt içeren bir PowerPoint dosyasıdır (PPT). Belge, Zoom'da bulunan yorumlama seçeneğinin nasıl kullanılacağına ilişkin talimatlar sağlar.
Köprüler yoluyla hain yürütme tekniği
Bu PowerPoint, "programı/makroyu çalıştır" yerine köprüler kullanılarak tetiklenen bir kod yürütme tekniği kullanır. Kullanıcı sunum modunu başlattığında ve fareyi hareket ettirdiğinde tetiklenir. Yürütülen kod, OneDrive'dan JPEG uzantılı (DSC0002.jpeg) bir dosya indiren, SyncAppvPublishingServer yardımcı programından çalıştırılan bir PowerShell betiğidir. Bu da daha sonra şifresi çözülen ve C:\ProgramData\lmapi2.dll yerel yoluna yazılan bir DLL dosyasıdır.
DuskRise ekibi Cluster25'in blogu, PowerPoint dosyası aracılığıyla yeni saldırının ayrıntılı bir teknik analizini sunuyor.
DuskRise.com'da daha fazlası