I ricercatori hanno scoperto una nuova operazione di cyber-spionaggio che sfrutta un difetto potenzialmente catastrofico in PowerPoint per diffondere il malware Graphite agli endpoint che sono gli obiettivi previsti.
Il fatto che le vittime non debbano davvero fare clic su un collegamento o scaricare il malware stesso per attivare l’attacco è ciò che rende questa campagna estremamente letale. Tutto ciò che serve è che la vittima passi il mouse sopra il sito web di destinazione. I ricercatori del Cluster25, specializzati in sicurezza delle informazioni, hanno recentemente scoperto che APT28, noto anche come Fancy Bear, stava diffondendo una presentazione PowerPoint (.PPT) che sembrava provenire dall’Organizzazione per la cooperazione e lo sviluppo economico (OCSE) (OCSE).
Ci sono due diapositive nel file.PPT, ognuna delle quali ha un collegamento ipertestuale. È stato rivelato che quando la vittima sposta il cursore sul collegamento ipertestuale, viene attivato uno script di PowerShell che utilizza la funzione SyncAppvPublishingServer. L’immagine JPEG con il nome file DSC0002.jpeg viene scaricata da un account Microsoft OneDrive utilizzando lo script. In realtà, il JPEG è un file DLL con il nome Imapi2.dll che è stato crittografato. Dopo qualche tempo, questo file
ne recupererà e decrittograferà un secondo. JPEG è la versione eseguibile portatile (PE) del software dannoso noto come Graphite.Si dice che un noto attore di minacce noto come APT28 lavori per il governo russo. Gli esperti nel campo della sicurezza ritengono che l’organizzazione sia associata al GRU, che sta per Main Intelligence Directorate of the Russian General Staff. Il conflitto nel cyberspazio tra la Russia e l’Occidente è stato più intenso dall’invasione russa dell’Ucraina. Microsoft ha rivelato di aver rimosso sette domini che gli hacker russi stavano utilizzando negli attacchi informatici contro obiettivi ucraini, la maggior parte dei quali erano istituzioni governative e organi di informazione, a metà aprile di quest’anno.