根据BleepingComputer网站,俄罗斯黑客已经开始使用一种新的代码执行技术,该技术依赖于MicrosoftPowerPoint演示文稿(PPT)中的鼠标移动来触发传播Graphite恶意软件的恶意PowerShell脚本.恶意代码不需要恶意宏来执行和下载有效负载,从而允许进行更隐蔽的攻击。攻击者使用据称与经济合作与发展组织(OECD)有关的PPT文件引诱目标,OECD是一个致力于刺激全球经济进步和贸易的政府间组织。PPT文件中提供了使用Zoom视频会议应用程序的说明,包括英语和法语版本。PPT文件包含一个超链接,该超链接充当使用SyncAppvPublishingServer工具启动恶意PowerShell脚本的触发器。包含恶意脚本的PPT文件的感染链来自威胁情报公司Cluster25的研究人员以演示模式打开“诱饵文档”并将鼠标悬停在超链接上,这会激活恶意PowerShell脚本并从MicrosoftOneDrive帐户下载JPEG文件(“DSC0002.jpeg”)。JPEG是一个加密的DLL文件(lmapi2.dll),它被解密并放置在“C:\代码执行接下来,lmapi2.dll获取并解密第二个JPEG文件,并在先前由DLL创建的新线程上将其加载到内存中。Cluster25详细说明新获取的文件中的每个字符串都需要不同的XOR密钥来进行反混淆。生成的有效载荷是Graphite恶意软件的可移植可执行(PE)形式。Graphite滥用MicrosoftGraphAPI和OneDrive与命令和控制(C2)服务器通信。攻击者获得有效的OAuth2令牌通过使用固定客户端ID访问服务。Graphite使用的固定客户端ID使用新的OAuth2令牌,Graphite通过枚举检查OneDrive子目录中的子文件来查询MicrosoftGraphAPI以获取新命令,研究人员解释说。“如果发现新文件,则通过AES-256-CBC解密算法下载和解密内容,恶意软件会调用一个新的专用线程,通过分配新的内存区域并执行接收到的shellcode来允许远程命令执行,”研究人员说。.综上所述,Graphite恶意软件的目的是允许攻击者将其他恶意软件加载到系统内存中。研究人员表示,攻击者的目标是欧盟和东欧国家的国防和政府部门实体,并认为间谍活动已经在进行中。
