Документ PowerPoint у режимі презентації здійснює кібератаку після першого руху миші. Потім сценарій PowerShell запускає зловмисне програмне забезпечення Graphite. Кажуть, що за атакою стоїть APT28, також відомий як Fancy Bear.
Дослідники Cluster25 зібрали та проаналізували шкідливий документ, який використовувався для імплантації варіанту зловмисного програмного забезпечення Graphite, явно пов’язаного із загрозою, відомою як APT28 (він же Fancy Bear, команда TSAR). Це група APT, яка приписується Головному розвідувальному управлінню Росії Генерального штабу Росії згідно з обвинуваченням Міністерства юстиції США в липні 2018 року. Документ-приманка — це файл PowerPoint, який використовує спеціальну техніку виконання коду: він запускається, коли користувач запускає режим презентації та рухає мишею. Запуск файлу запускає сценарій PowerShell, який завантажує та запускає дроппер із OneDrive. Після цього він витягує та вставляє в себе новий файл PE (Portable Executable), який було проаналізовано як варіант сімейства зловмисних програм під назвою Graphite, яке використовує API Microsoft Graph і OneDrive для зв’язку C&C.
Файл PowerPoint приваблює інформацією OECD
Згідно з метаданими зараженого файлу PowerPoint, зловмисники використовували шаблон, який може бути пов’язаний з Організацією економічного співробітництва та розвитку (ОЕСР). Ця організація співпрацює з урядами, політиками та громадянами, щоб встановити засновані на фактах міжнародні стандарти та знайти рішення низки соціальних, економічних та екологічних проблем. Це файл PowerPoint (PPT), що містить два слайди з однаковим вмістом, перший англійською, а другий – французькою. У документі містяться інструкції щодо використання опції інтерпретації, доступної в Zoom.
Підступна техніка виконання через гіперпосилання
Цей PowerPoint використовує техніку виконання коду, яка запускається за допомогою гіперпосилань замість «запустити програму/макро». Він запускається, коли користувач запускає режим презентації та рухає мишею. Код, який виконується, — це сценарій PowerShell, який запускається з утиліти SyncAppvPublishingServer, який завантажує файл із OneDrive із розширенням JPEG (DSC0002.jpeg). Це, у свою чергу, файл DLL, який пізніше розшифровується та записується в локальний шлях C:\ProgramData\lmapi2.dll.
У блозі Cluster25, команди DuskRise, надається детальний технічний аналіз нової атаки за допомогою файлу PowerPoint.
Більше на DuskRise.com