Se descubrió que el actor de amenazas patrocinado por el estado ruso conocido como APT28 aprovecha un nuevo método de ejecución de código que utiliza el movimiento del mouse en documentos señuelo de Microsoft PowerPoint para implementar malware.
La técnica «está diseñada para activarse cuando el usuario inicia el modo de presentación y mueve el mouse», firma de ciberseguridad Cluster25 dijo en un informe técnico. «La ejecución del código ejecuta un script de PowerShell que descarga y ejecuta un cuentagotas desde OneDrive».
El cuentagotas, un archivo de imagen aparentemente inofensivo, funciona como una vía para una carga útil de seguimiento, una variante de un malware conocido como Graphite, que usa Microsoft Graph API y OneDrive para comunicaciones de comando y control (C2) para recuperar información adicional. cargas útiles
El ataque emplea un documento señuelo que hace uso de una plantilla potencialmente vinculada a la Organización para la Cooperación y el Desarrollo Económicos (OCDE), una entidad intergubernamental con sede en París.
Cluster25 señaló que los ataques pueden estar en curso, considerando que las URL utilizadas en los ataques aparecieron activas en agosto y septiembre, aunque los piratas informáticos habían sentado previamente las bases para la campaña entre enero y febrero.
Los objetivos potenciales de la operación probablemente incluyan entidades e individuos que operan en los sectores de defensa y gobierno de Europa y Europa del Este, agregó la compañía, citando un análisis de los objetivos geopolíticos y los artefactos recopilados.
Esta no es la primera vez que el colectivo adversario despliega Graphite. En enero de 2022, Trellix reveló una cadena de ataque similar que aprovechó la vulnerabilidad de ejecución remota de código MSHTML (CVE-2021-40444) para eliminar la puerta trasera.
El desarrollo es una señal de que APT28 (también conocido como Fancy Bear) continúa perfeccionando su oficio técnico y evolucionando sus métodos para lograr el máximo impacto a medida que las rutas de explotación que alguna vez se consideraron viables (por ejemplo, macros) dejan de ser rentables.