Rusya için çalıştığına inanılan bilgisayar korsanları, kötü amaçlı bir PowerShell komut dosyasını tetiklemek için Microsoft PowerPoint sunumlarında fare hareketine dayanan yeni bir kod yürütme tekniği kullanmaya başladı.
Daha sinsi bir saldırı için kötü amaçlı kodun yükü yürütmesi ve indirmesi için kötü amaçlı makro gerekmez.
Tehdit istihbarat şirketi Cluster25’ten bir rapor, APT28’in (diğer adıyla ‘Fancy Bear’), bir Rus GRU’suna atfedilen tehdit grubu (Rus Genelkurmay Başkanlığı Ana İstihbarat Müdürlüğü), yeni tekniği Graphite kötü amaçlı yazılımını 9 Eylül’de teslim etmek için kullandı.
Tehdit aktörü, dünya çapında ekonomik ilerlemeyi ve ticareti teşvik etmeye çalışan hükümetler arası bir kuruluş olan Ekonomik İşbirliği ve Kalkınma Teşkilatı (OECD) ile bağlantılı olduğu iddia edilen bir PowerPoint (.PPT) dosyasıyla hedefleri cezbeder.
PPT dosyasının içinde, Zoom video konferans uygulamasındaki Yorumlama seçeneğini kullanmak için her ikisi de İngilizce ve Fransızca talimatlar içeren iki slayt vardır.
PPT dosyası, S kullanarak kötü amaçlı bir PowerShell komut dosyasını başlatmak için tetikleyici görevi gören bir köprü içerir.yncAppvYayınlamaSunucusu Yarar. Bu teknik olmuştur Haziran 2017’den beri belgelenmiştir. Birden çok araştırmacı, bir Office belgesinin içine yerleştirilmiş kötü amaçlı bir makro olmadan enfeksiyonun nasıl çalıştığını açıkladı (1, 2, 3, 4).
Bulunan meta verilere dayanarak, Küme25 diyor saldırılarda kullanılan URL’lerin Ağustos ve Eylül aylarında aktif görünmesine rağmen, bilgisayar korsanlarının kampanyayı Ocak ve Şubat ayları arasında hazırladığını söyledi.
Araştırmacılar, tehdit aktörünün Avrupa Birliği ve Doğu Avrupa’daki ülkelerin savunma ve hükümet sektörlerindeki varlıkları hedef aldığını ve casusluk kampanyasının devam ettiğine inandıklarını söylüyor.
Enfeksiyon zinciri
Cazibe belgesini sunum modunda açarken ve kurban fareyi bir köprünün üzerine getirdiğinde, bir Microsoft OneDrive hesabından bir JPEG dosyası (“DSC0002.jpeg”) indirmek için kötü amaçlı bir PowerShell betiği etkinleştirilir.
JPEG, şifreli bir DLL dosyasıdır (lmapi2.dll), şifresi çözülür ve ‘C:\ProgramData\’ dizinine bırakılır, daha sonra aracılığıyla yürütülür. rundll32.exe. DLL için kalıcılık için bir kayıt defteri anahtarı da oluşturulur.
Sonraki, lmapi2.dll ikinci bir JPEG dosyasını alır ve şifresini çözer ve daha önce DLL tarafından oluşturulan yeni bir iş parçacığına belleğe yükler.
Cluster25, yeni getirilen dosyadaki dizelerin her birinin degizleme için farklı bir XOR anahtarı gerektirdiğinin ayrıntılarını verir. Ortaya çıkan yük, taşınabilir yürütülebilir (PE) biçimindeki Graphite kötü amaçlı yazılımıdır.
Grafit, komut ve kontrol (C2) sunucusuyla iletişim kurmak için Microsoft Graph API’sini ve OneDrive’ı kötüye kullanır. Tehdit aktörü, geçerli bir OAuth2 belirteci elde etmek için sabit bir istemci kimliği kullanarak hizmete erişir.
Araştırmacılar, yeni OAuth2 belirteci ile Graphite, kontrol OneDrive alt dizinindeki alt dosyaları numaralandırarak Microsoft GraphAPI’leri yeni komutlar için sorgular.
“Yeni bir dosya bulunursa, içerik bir AES-256-CBC şifre çözme algoritması aracılığıyla indirilir ve şifresi çözülür” diyen Cluster25, “kötü amaçlı yazılımın yeni bir bellek bölgesi ayırarak ve alınan kabuk kodunu çalıştırarak uzaktan komut yürütülmesine izin verdiğini de sözlerine ekledi. yeni bir özel iş parçacığı çağırıyor.”
Grafit kötü amaçlı yazılımın amacı, saldırganın diğer kötü amaçlı yazılımları sistem belleğine yüklemesine izin vermektir. Olmuştur Ocak ayında belgelendi Trellix’teki araştırmacılar tarafından, bir birleşme OneDrive’ı C2 olarak kullanmak için Microsoft Graph API’sinden yararlandığı için bunu özellikle adlandıran McAfee Enterprise ve FireEye’den.
Trellix’in araştırdığı kampanya, devlet çalışanlarını ve savunma sanayiindeki bireyleri hedef aldığı anlaşılan “parliament_rew.xlsx” ve “Missions Budget.xlsx” başlıklı bir Excel belgesi kullandı.
2018’deki kötü amaçlı yazılım örnekleri, hedefleme ve saldırılarda kullanılan altyapı ile kod benzerliklerine dayanarak Trellix, Graphite’ı düşük ila orta düzeyde güvenle APT28’e bağladı.