Хакеры используют курсор мыши для доставки вредоносного ПО

По данным исследовательской компании Cluster25, группировка Fancy Bear (APT28) использует новую технику удаленного выполнения кода. Хакеры используют движения мыши в презентациях Microsoft PowerPoint для выполнения вредоносного PowerShell сценария с помощью утилиты «SyncAppvPublishingServer». Сообщается, что атаки нацелены на организации в оборонном и правительственном секторах Евросоюза и восточноевропейских стран.

Техника наведения курсора (mouseover) используется для распространения вредоносного ПО Graphite. Жертву заманивают мошенническими PPT-файлами PowerPoint, которые связаны с Организацией Экономического Сотрудничества и Развития (ОЭСР).

Внутри файла содержатся 2 слайда с инструкциями на английском и французском языках по использованию параметра «Интерпретация» в приложении Zoom.

При открытии документа-приманки в режиме презентации и наведении курсора мыши на гиперссылку активируется вредоносный PowerShell скрипт для загрузки JPEG файла из учетной записи Microsoft OneDrive.

JPEG файл представляет из себя зашифрованный DLL-файл, который расшифровывается и помещается в каталог «C:\ProgramData\», а затем выполняется через «rundll32.exe». Также создается ключ реестра для сохранения постоянства в сети.

Начало формы

Конец формы

После деобфускации полученная полезная нагрузка — вредоносное ПО Graphite — использует API Microsoft Graph и OneDrive для связи с сервером управления и контроля (C&C). Для доступа к сервису злоумышленник использует фиксированный идентификатор клиента и действительный токен OAuth2.

В конечном итоге Graphite позволяет злоумышленнику загрузить другое вредоносное ПО в системную память и сохранить постоянство в системе. Вредоносное ПО позволяет удаленно выполнять команды, выделяя новую область памяти и выполняя полученный шелл-код с помощью вызова нового выделенного потока.