APT28 olarak bilinen Rus devlet destekli tehdit aktörünün, kötü amaçlı yazılım dağıtmak için sahte Microsoft PowerPoint belgelerinde fare hareketini kullanan yeni bir kod yürütme yönteminden yararlandığı bulundu.
Siber güvenlik firması Cluster25 teknik bir raporda, tekniğin “kullanıcı sunum modunu başlattığında ve fareyi hareket ettirdiğinde tetiklenecek şekilde tasarlandığını” söyledi. “Kod yürütme, OneDrive’dan bir damlalık indiren ve yürüten bir PowerShell betiği çalıştırır.”
Görünüşte zararsız bir görüntü dosyası olan dropper, ek bilgi almak için Microsoft Graph API ve OneDrive komut ve kontrol (C2) iletişimlerini kullanan Graphite olarak bilinen bir kötü amaçlı yazılımın bir türevi olan bir takip yükü için bir yol işlevi görür. yükler.
Saldırı, Paris merkezli hükümetler arası bir kuruluş olan Ekonomik İşbirliği ve Kalkınma Teşkilatı (OECD) ile potansiyel olarak bağlantılı bir şablonu kullanan bir cazibe belgesi kullanıyor.
Cluster25, saldırılarda kullanılan URL’lerin ağustos ve eylül aylarında aktif göründüğünü göz önünde bulundurarak saldırıların devam edebileceğini, ancak bilgisayar korsanlarının daha önce Ocak ve Şubat ayları arasında kampanyanın temelini atmış olabileceğini kaydetti.
Operasyonun potansiyel hedefleri arasında muhtemelen Avrupa ve Doğu Avrupa’nın savunma ve devlet sektörlerinde faaliyet gösteren kuruluşlar ve bireyler yer alıyor, şirket, jeopolitik hedeflerin ve toplanan eserlerin bir analizine atıfta bulunarak ekledi.
Bu, muhalif kolektifin Graphite’i ilk kullanışı değil. Ocak 2022’de Trellix, arka kapıyı kapatmak için MSHTML uzaktan kod yürütme güvenlik açığından (CVE-2021-40444) yararlanan benzer bir saldırı zincirini açıkladı.
Bu gelişme, APT28’in (diğer adıyla Fantezi Ayı) teknik ticari zanaatını geliştirmeye ve yöntemlerini, bir kez uygulanabilir olduğu düşünülen kullanım yolları (örneğin, makrolar) karlı olmaktan çıktıkça maksimum etki için geliştirmeye devam ettiğinin bir işaretidir.