Araştırmacılar, Graphite kötü amaçlı yazılımını hedef uç noktalara ulaştırmak için tehlikeli bir PowerPoint güvenlik açığından yararlanan yeni bir siber casusluk kampanyası keşfettiler. (yeni sekmede açılır).
Bu kampanyayı özellikle tehlikeli yapan şey, kurbanların aslında bir bağlantıyı tıklamaları veya kötü amaçlı yazılımın kendisini indirmeleri gerekmemesidir – saldırıyı tetiklemek için fareyle üzerine gelinmesi yeterlidir.
Siber güvenlik araştırmacıları Cluster25 kısa süre önce Fancy Bear olarak da bilinen APT28’i Ekonomik İşbirliği ve Kalkınma Örgütü’nden (OECD) geliyormuş gibi yapan bir PowerPoint (.PPT) sunumu dağıtırken gördü.
.PPT’de bir köprü içeren iki slayt vardır. Kurban, faresini köprünün üzerine getirdiğinde, SyncAppvPublishingServer yardımcı programını kullanarak bir PowerShell betiğini tetikliyor, açıklandı. Komut dosyası, bir Microsoft OneDrive hesabından DSC0002.jpeg başlıklı bir JPEG dosyasını indirir. Aslında JPEG, Imapi2.dll adlı şifreli bir .DLL dosyasıdır. Bu dosya daha sonra ikinci bir .JPEG – taşınabilir yürütülebilir (PE) biçimindeki Graphite kötü amaçlı yazılımı çeker ve şifresini çözer.
Malpedia’ya göre Graphite, ilk olarak Microsoft Graph API ve OneDrive’ı C2 olarak kullanan kötü amaçlı yazılım olarak tanımlayan Trellix’teki araştırmacılar tarafından keşfedildi. Başlangıçta, bellekte konuşlandırılıyordu ve amacı İmparatorluğun sömürü sonrası ajanını indirmekti.
APT28, iddiaya göre Rusya’nın maaş bordrosunda bulunan tanınmış bir tehdit aktörüdür. Güvenlik uzmanları, grubun Rus Genelkurmay Başkanlığı Ana İstihbarat Müdürlüğü veya GRU’nun bir parçası olduğuna inanıyor.
Araştırmacılar, grubun Eylül ayının başından beri bu teknikle Grafit dağıttığına inanıyorlar ve ayrıca en olası hedeflerinin savunma ve devlet sektörlerindeki kuruluşlar, AB ülkeleri ve Doğu Avrupa olduğunu da ekliyorlar.
Ukrayna’nın işgalinden bu yana, Rusya ile Batı arasındaki siber savaş yoğunlaştı. Bu yılın Nisan ayının ortalarında Microsoft, Rus siber suçlularının Ukrayna hedeflerine yönelik siber saldırılarda kullandığı yedi alanı, çoğunlukla devlet kurumları ve medyayı ele geçirdiğini bildirdi.
Aracılığıyla: BleeBilgisayar (yeni sekmede açılır)