黑客使用PowerPoint文件进行”mouseover “恶意软件交付

据传为俄罗斯工作的黑客已经开始使用一种新的代码执行技术，它依靠微软PowerPoint演示文稿中的鼠标移动来触发恶意的PowerShell脚本。

黑客用PowerPoint ( . PPT )文件据称与经济合作与发展组织( OECD )有联系，该组织是一个致力于刺激世界经济进步和贸易的政府间组织。

在PPT文件中，有两个幻灯片，都有英文和法文的说明，用于在Zoom视频会议应用程序中使用解释选项。

PPT文件包含一个超链接，它充当使用SyncAppvPublishingServer实用程序启动恶意PowerShell脚本的触发器。自2017年6月以来，该技术已被记录。当时，多位研究人员解释了在没有恶意宏嵌套在Office文档( 1 , 2 , 3 , 4)中的情况下，感染是如何工作的。

基于发现的元数据，Cluster25表示，尽管攻击中使用的URL在8月和9月出现活动，但黑客一直在准备1月至2月之间的活动。

研究人员说，黑客的目标是欧洲联盟和东欧国家的国防和政府部门的实体，并认为间谍活动正在进行中。

感染链

当以演示模式打开诱饵文档，受害者将鼠标悬停在超链接上时，将激活恶意PowerShell脚本，从Microsoft OneDrive帐户下载JPEG文件( ‘ DSC0002.jpeg ‘)。

  JPEG是一个加密的DLL文件( lmapi2.dll )，它被解密并放入’ C：\ ProgramData \ ‘目录，然后通过rundll32 . exe执行。还为DLL创建了用于持久化的注册表键。

接下来，lmapi2 . dll获取并解密第二个JPEG文件，并将其加载到内存中，该线程以前由DLL创建。

Cluster25详细说明了新获取的文件中的每个字符串都需要一个不同的XOR键用于解混淆。产生的有效载荷是可移植可执行( PE )形式的Graphite恶意软件。

Graphite滥用Microsoft Graph API和OneDrive与命令和控制( C2 )服务器通信。威胁行为体通过使用固定的客户端ID来获取有效的OAuth2令牌来访问服务。

研究人员解释说，使用新的OAuth2令牌，Graphite通过枚举检查OneDrive子目录中的子文件来查询Microsoft GraphAPI以获取新命令。

 Cluster25说，如果发现新文件，通过AES – 256 – CBC解密算法下载并解密内容，并补充说，”恶意软件通过分配一个新的内存区域和调用一个新的专用线程来执行接收到的shellcode代码，从而允许远程命令执行”。

恶意软件的目的是允许攻击者将其他恶意软件加载到系统内存中。Trellix的研究人员于今年1月将其记录在案，该公司是McAfee Enterprise和火眼的合并，他将其命名为” C2 “，因为它利用了微软的图形API来使用OneDrive作为C2。

特雷利克斯调查的竞选活动使用了一份名为” Congress _ rew.xlsx “和” Missions Budget.xlsx “的Excel文件，这些文件似乎针对国防工业的政府雇员和个人。

基于与2018年恶意软件样本的代码相似性、攻击目标以及攻击中使用的基础设施，Trellix将Graphite归因于APT28。