最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

黑客使用PowerPoint文件进行“鼠标悬停”恶意软件传递

网络安全 快米云 来源:快米云 41浏览

熊

据信为俄罗斯工作的黑客已经开始使用一种新的代码执行技术,该技术依赖于 Microsoft PowerPoint 演示文稿中的鼠标移动来触发恶意 PowerShell 脚本。

恶意代码不需要恶意宏来执行和下载有效负载,从而进行更隐蔽的攻击。

来自威胁情报公司 Cluster25 的一份报告称,俄罗斯 GRU  (俄罗斯总参谋部主要情报局)的威胁组织 APT28(又名“Fancy Bear”)最近使用了这种新技术来传播 Graphite 恶意软件。 9 月 9 日。

熊

据信为俄罗斯工作的黑客已经开始使用一种新的代码执行技术,该技术依赖于 Microsoft PowerPoint 演示文稿中的鼠标移动来触发恶意 PowerShell 脚本。

恶意代码不需要恶意宏来执行和下载有效负载,从而进行更隐蔽的攻击。

来自威胁情报公司 Cluster25 的一份报告称,俄罗斯 GRU  (俄罗斯总参谋部主要情报局)的威胁组织 APT28(又名“Fancy Bear”)最近使用了这种新技术来传播 Graphite 恶意软件。 9 月 9 日。

威胁行为者使用 PowerPoint (.PPT) 文件引诱目标,该文件据称与经济合作与发展组织 (OECD) 相关,该组织是一个致力于刺激全球经济进步和贸易的政府间组织。

PPT 文件内有两张幻灯片,均以英文和法文提供使用 Zoom 视频会议应用程序中的解释选项的说明。 

APT28 最新活动中使用的文件诱饵
使用 Graphite 恶意软件的新活动中使用的文档诱饵
来源:Cluster25

PPT 文件包含一个超链接,用作使用 S syncAppvPublishingServer 实用程序启动恶意 PowerShell 脚本的触发器。自 2017 年 6 月以来,该技术已被记录在案。多名研究人员当时解释了感染是如何在没有嵌套在 Office 文档(1、2、3、4)中的恶意情况下 进行

根据发现的元数据,Cluster25 表示,尽管攻击中使用的 URL 在 8 月和 9 月似乎很活跃,但黑客一直在准备 1 月至 2 月期间的活动。

来自 APT28 上 Cluster25 的遥测数据使用 PowerPoint 鼠标悬停技术来传递 Graphite 恶意软件
使用 PowerPoint 鼠标悬停技术传递 Graphite 恶意软件
来源:Cluster25

研究人员表示,威胁行为者的目标是欧盟和东欧国家国防和政府部门的实体,并认为间谍活动正在进行中。

感染链

当以演示模式打开诱饵文档并且受害者将鼠标悬停在超链接上时,会激活恶意 PowerShell 脚本以从 Microsoft OneDrive 帐户下载 JPEG 文件(“DSC0002.jpeg”)。

JPEG 是一个加密的 DLL 文件 ( lmapi2.dll ),它被解密并放在“C:\ProgramData\”目录中,稍后通过rundll32.exe执行。还为 DLL 创建了一个用于持久性的注册表项。

触发 PowerShell 执行
触发恶意代码执行 (Cluster25)

接下来,lmapi2.dll在之前由 DLL 创建的新线程上获取并解密第二个 JPEG 文件并将其加载到内存中。

Cluster25 详细说明了新获取的文件中的每个字符串都需要不同的 XOR 键来进行反混淆。生成的有效负载是可移植可执行 (PE) 形式的 Graphite 恶意软件。

Graphite 滥用 Microsoft Graph API 和 OneDrive 与命令和控制 (C2) 服务器进行通信。威胁参与者通过使用固定客户端 ID 访问服务以获取有效的 OAuth2 令牌。

修复了 Graphite 使用的客户端 ID
Graphite 使用的固定客户端 ID (Cluster25)

研究人员解释说,使用新的 OAuth2 令牌,Graphite 通过枚举 check OneDrive 子目录中的子文件来查询 Microsoft GraphAPI 的新命令。

Cluster25 说:“如果找到新文件,则下载内容并通过 AES-256-CBC 解密算法解密,并补充说,“恶意软件通过分配新的内存区域并执行接收到的 shellcode 来允许远程命令执行调用一个新的专用线程。”

Graphite 恶意软件的目的是允许攻击者将其他恶意软件加载到系统内存中。早在 1 月份,Trellix 的研究人员 就记录了这一点,Trellix 是 McAfee Enterprise 和 FireEye 的合并 公司,之所以如此命名,是因为它利用 Microsoft Graph API 将 OneDrive 用作 C2。

Trellix 调查的活动使用了一份名为“parliament_rew.xlsx”和“Missions Budget.xlsx”的 Excel 文件,这些文件似乎针对国防工业的政府雇员和个人。

根据与 2018 年恶意软件样本的代码相似性、目标以及攻击中使用的基础设施,Trellix 将 Graphite 归因于 APT28,信心低至中等。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 黑客使用PowerPoint文件进行“鼠标悬停”恶意软件传递