Cluster25’teki güvenlik analistlerinin bildirdiğine göre, Rusya için çalıştığı düşünülen bilgisayar korsanları tarafından kullanılan yeni bir kod yürütme tekniği var.
Bu tür bir saldırı, bir PowerPoint sunumu açıldıktan sonra bilgisayarda kötü amaçlı bir PowerShell komut dosyası başlatmak için fare hareketini kullanır.
Daha sinsi bir saldırı oluşturmak için, kötü amaçlı kodun, yükü indirebilmesi ve kötü amaçlı kodu çalıştırabilmesi için herhangi bir makronun yürütülmesini gerektirmez.
Rapora göre, yeni geliştirilen APT28 (diğer adıyla Fancy Bear, TSAR Team) dağıtım tekniği kullanılarak Graphite kötü amaçlı yazılımı 9 Eylül gibi yakın bir zamanda sisteme teslim edildi.
Temmuz 2018’de ABD hükümeti, bu tehdit grubunun Rusya Genelkurmay Başkanlığı Ana İstihbarat Müdürlüğü’ne bağlı olduğunu iddia eden bir rapor yayınladı.
Teknik Analiz
OECD ile ilgili olduğu iddia edilen bir .PPT dosyası, tehdit aktörü tarafından hedefleri cezbetmek için kullanılıyor. Bu, dünya çapında ekonomik büyüme ve ticaretin ilerlemesi için çalışan uluslararası bir hükümet kuruluşudur.
Sunumda, her ikisi de hem İngilizce hem de Fransızca dillerinde talimatlar içeren iki slayt bulunmaktadır. Zoom video konferans uygulamasında, onu kullanmak için kullanılabilecek Yorumlama adlı bir seçenek vardır.
SyncAppvPublishingServer yardımcı programı kullanılarak, PPT dosyasındaki köprü aracılığıyla kötü amaçlı bir PowerShell komut dosyası başlatılır. Haziran 2017’den bu yana, bu tekniğin belgeleri çevrimiçi olarak mevcuttur.
Kurban, sunum modundayken yem belgesindeki bir köprünün üzerine fareyi getirdiğinde, kötü amaçlı bir PowerShell betiği açacaktır.
İkinci olarak, tehdit aktörü, bu kötü amaçlı komut dosyasının yardımıyla bir Microsoft OneDrive hesabından (“DSC0002.jpeg”) bir JPEG dosyası indirdi.
Ardından, şifresi çözülecek ve yerel makinede C:\ProgramData\lmapi2.dll yoluna yerleştirilecek bir DLL dosyasına dönüştürülür.
DLL dosyası olarak kullanılan lmapi2.dll adlı 64 bitlik bir PE dosyası var. Bu dosyanın bir sonucu olarak, onu kontrol etmek için kullanılacak 56rd68kow adlı yeni bir muteks ile birlikte yeni bir iş parçacığı oluşturulacaktır.
Ayrıca, C2 sunucusuyla iletişim kurmak amacıyla Graphite aşağıdaki iki öğeyi kullanır:-
- Microsoft Grafik API’si
- OneDrive
Geçerli bir OAuth2 belirteci elde etmek için tehdit aktörü, hizmete erişmek için kullanılabilecek sabit bir istemci kimliği kullanır. Check OneDrive alt dizininde Graphite, yeni OAuth2 belirtecinin alt dosyalarını numaralandırır ve yeni komutlar için Microsoft GraphAPI’leri sorgular.
Bu kötü amaçlı yazılım, saldırganın sistem üzerinde kontrol sahibi olmak için diğer kötü amaçlı yazılımları sistemin belleğine yüklemesini sağlamak için tasarlanmıştır.
Ücretsiz Yazılım Yazılımını İndirin – Güvenli Web Filtreleme – E-kitap