Der russische, staatlich gesponserte Bedrohungsakteur APT28 hat eine neue Methode zur Codeausführung entdeckt, die Mausbewegungen in Microsoft PowerPoint-Dokumenten ausnutzt, um Malware zu verbreiten.
Die Technik ist so konzipiert, dass sie ausgelöst wird, wenn der Benutzer den Präsentationsmodus startet und die Maus bewegt“, so das Cybersicherheitsunternehmen Cluster25 in einem technischen Bericht. „Bei der Codeausführung wird ein PowerShell-Skript ausgeführt, das einen Dropper von OneDrive herunterlädt und ausführt.
Der Dropper, eine scheinbar harmlose Bilddatei, fungiert als Pfad für eine nachfolgende Nutzlast, eine Variante einer als Graphite bekannten Malware, die die Microsoft Graph API und OneDrive für die Command-and-Control (C2)-Kommunikation nutzt, um weitere Nutzlasten zu erhalten.
Der Angriff nutzt ein Köderdokument, das eine Vorlage verwendet, die möglicherweise mit der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD), einer zwischenstaatlichen Organisation mit Sitz in Paris, verbunden ist.
Cluster25 stellte fest, dass die Angriffe möglicherweise noch andauern, da die bei den Angriffen verwendeten URLs im August und September aktiv waren, obwohl die Hacker bereits zwischen Januar und Februar die Grundlagen für die Kampagne gelegt hatten.
Zu den potenziellen Zielen der Operation gehören wahrscheinlich Einrichtungen und Einzelpersonen, die im Verteidigungs- und Regierungssektor Europas und Osteuropas tätig sind, fügte das Unternehmen unter Berufung auf eine Analyse der geopolitischen Ziele und der gesammelten Artefakte hinzu.
Dies ist nicht das erste Mal, dass das gegnerische Kollektiv Graphite einsetzt. Im Januar 2022 enthüllte Trellix eine ähnliche Angriffskette, bei der die MSHTML-Schwachstelle (CVE-2021-40444) ausgenutzt wurde, um die Hintertür einzuschleusen.
Diese Entwicklung ist ein Zeichen dafür, dass APT28 (auch bekannt als Fancy Bear) sein technisches Handwerk weiter verfeinert und seine Methoden weiterentwickelt, um eine maximale Wirkung zu erzielen, da die einst als rentabel erachteten Angriffswege (z. B. Makros) nicht mehr rentabel sind.