Rusya için çalıştığına inanan bilgisayar korsanları, kötü niyetli bir PowerShell komut dosyasını tetiklemek için Microsoft PowerPoint sunumlarında fare hareketine dayanan yeni bir kod yürütme tekniği kullanmaya başladı.
Kötü amaçlı kodun daha sinsi bir saldırı için yükü yürütmesi ve indirmesi için kötü niyetli makro gerekmez.
Tehdit İstihbarat Şirketi Cluster25'ten bir rapor, Rus GRU'ya (Rusya Genel Personelinin Ana İstihbarat Müdürlüğü) atfedilen bir tehdit grubu olan APT28'in ('Fantezi Ayı'), grafit kötü amaçlı yazılımları son zamanlarda sunmak için yeni tekniği kullandığını söylüyor. 9 Eylül.
Tehdit oyuncusu, dünya çapında ekonomik ilerlemeyi ve ticareti teşvik etmek için çalışan hükümetler arası bir kuruluş olan Ekonomik İşbirliği ve Kalkınma Örgütü (OECD) ile bağlantılı olduğu iddia edilen bir PowerPoint (.PPT) dosyasıyla hedefleri canlandırıyor.
PPT dosyasının içinde, Zoom Video Konferans uygulamasında yorumlama seçeneğini kullanmak için her ikisi de İngilizce ve Fransızca talimatları içeren iki slayt vardır.
PPT dosyası, syncAppVPublishingserver yardımcı programını kullanarak kötü amaçlı bir PowerShell komut dosyası başlatma tetikleyici görevi gören bir köprü içerir. Bu teknik Haziran 2017'den beri belgelenmiştir. Birden fazla araştırmacı, bir ofis belgesine (1, 2, 3, 4) kötü niyetli bir makro olmadan enfeksiyonun nasıl çalıştığını açıkladı.
Bulunan meta verilere dayanarak, Cluster25, bilgisayar korsanlarının kampanyayı Ocak ve Şubat ayları arasında hazırladığını, ancak saldırılarda kullanılan URL'lerin Ağustos ve Eylül aylarında aktif göründüğünü söylüyor.
Araştırmacılar, tehdit aktörünün Avrupa Birliği ve Doğu Avrupa'daki ülkelerin savunma ve devlet sektörlerindeki varlıkları hedeflediğini ve casusluk kampanyasının devam ettiğine inandığını söylüyor.
LURE belgesini sunum modunda açarken ve kurban fareyi bir köprü üzerinde kaydırır, bir Microsoft OneDrive hesabından bir JPEG dosyasını (“DSC0002.jpeg”) indirmek için kötü niyetli bir PowerShell komut dosyası etkinleştirilir.
JPEG, daha sonra Runddll32.exe aracılığıyla yürütülen 'C: \ ProgramData \' dizininde şifrelenen ve bırakılan şifreli bir DLL dosyasıdır (LMAPI2.dll). DLL için kalıcılık için bir kayıt defteri anahtarı da oluşturulur.
Ardından, Lmapi2.dll ikinci bir JPEG dosyasını getirir ve şifresini çözer ve daha önce DLL tarafından oluşturulan yeni bir iş parçacığında belleğe yükler.
Cluster25, yeni getirilen dosyadaki dizelerin her birinin, deobfuscation için farklı bir XOR tuşu gerektirdiğini detaylandırır. Ortaya çıkan yük, taşınabilir yürütülebilir (PE) formunda grafit kötü amaçlı yazılımdır.
Grafit, Komut ve Kontrol (C2) sunucusuyla iletişim kurmak için Microsoft Graph API ve OneDrive'ı kötüye kullanır. Tehdit oyuncusu, geçerli bir OAuth2 jetonu elde etmek için sabit bir istemci kimliği kullanarak hizmete erişir.
Yeni OAuth2 jetonu ile Grafit, Check OneDrive alt dizininde çocuk dosyalarını numaralandırarak Microsoft Graphapis'i yeni komutlar için sorgular.
“Yeni bir dosya bulunursa, içerik bir AES-256-CBC şifre çözme algoritması aracılığıyla indirilir ve şifre çözülür,” diyor Cluster25, "Kötü amaçlı yazılım, yeni bir bellek tahsis ederek ve alınan kabuk kodunu yürüterek uzaktan komut yürütmesine izin verir. yeni bir özel iş parçacığı çağırıyor. ”
Grafit kötü amaçlı yazılımın amacı, saldırganın diğer kötü amaçlı yazılımları sistem belleğine yüklemesine izin vermektir. Ocak ayında McAfee Enterprise ve FireEye'nin birleşmesi olan Trellix'teki araştırmacılar tarafından belgelendi, çünkü Microsoft Graph API'sını OneDrive olarak kullanacak şekilde kullandı.
Trellix'in araştırdığı kampanyada, savunma endüstrisindeki hükümet çalışanlarını ve bireyleri hedeflediği ortaya çıkan "Parliament_rew.xlsx" ve "Misyon Bütçesi.xlsx" başlıklı bir Excel belgeleri kullandı.
2018'den gelen kötü amaçlı yazılım örnekleri, hedefleme ve saldırılarda kullanılan altyapı ile kod benzerliklerine dayanarak, Trellix grafiti APT28'e düşük ila orta güvenle ilişkilendirdi.
Meta, Batı Haber Sitelerini Sahte Rus Ağı Sahtekarlığı Söner
Ukrayna, müttefikleri Rusya'nın siber saldırıları artırmayı planladığı konusunda uyarıyor
Ukrayna 30 milyon hesap çalan hacker çetesini söküyor
Rus Sandworm Hackers, kötü amaçlı yazılımları bırakmak için Ukrayna telkosları olarak poz veriyor
Rus hackerlar Ukrayna Orgs'a karşı yeni bilgi stealer kötü amaçlı yazılım kullanıyor
Kaynak: Bleeping Computer