据信为俄罗斯工作的黑客已开始使用一种新的代码执行技术,该技术依靠演示文稿中的鼠标移动来触发恶意脚本。
恶意代码不需要恶意宏来执行和下载有效负载,从而允许更隐蔽的攻击。
一家威胁情报公司的报告称,具有俄罗斯官方背景的 APT 组织 APT28(又名“Fancy Bear”)最近利用这种新技术传播恶意软件。
威胁行为者利用据说与经济合作与发展组织 (OECD) 相关的 (.PPT) 文件来引诱目标,该组织是一个致力于刺激全球经济进步和贸易的政府间组织。
PPT 文件内有两张幻灯片,其中包含有关使用 Zoom 视频会议应用程序的英语和法语的有用说明。
使用恶意软件记录新活动中使用的诱饵
该 PPT 文件包含一个链接,该链接是使用 S rver 实用程序启动恶意脚本的触发器。 该技术自 2017 年 6 月起就有记录。
报告称,攻击者的目标是欧盟和东欧国家的国防和政府部门实体。
当诱饵文档在演示模式下打开并且受害者将鼠标悬停在超链接上时,恶意脚本就会被激活,从该帐户下载 JPEG 文件(“.jpeg”)。
JPEG是一个加密的DLL文件(.dll),解密后放置在“C:\\”目录下,稍后由.exe执行。 还为 DLL 创建了用于持久性的注册表项。
接下来,.dll 获取并解密第二个 JPEG 文件,并将其加载到 DLL 先前创建的新线程上的内存中。 生成的有效负载是 PE 格式的恶意可执行文件。
通过Graph API与C2服务器通信。 该恶意软件的目的是允许攻击者将其他恶意软件加载到系统内存中执行。 早在 1 月份,来自 的研究人员就记录了这一点,该公司是 和 的合并公司,之所以如此命名是因为它利用 Graph API 用作 C2。
接受调查的活动使用了名为“.xlsx”和“.xlsx”的 Excel 文件,该文件针对的是政府雇员和国防工业中的个人。
根据与 2018 年恶意软件样本、目标和攻击中使用的基础设施的代码相似性,以中等置信度归因于 APT28。