Pliki PowerPoint zostały zhakowane, aby rozprzestrzenić nowy rosyjski malware

Śledczy odkryli nową operację cyberszpiegowską, która wykorzystuje niebezpieczną lukę w oprogramowaniu PowerPoint do dostarczenia złośliwego oprogramowania Graphite na komputery osobiste.

To, co czyni tę procedurę szczególnie niebezpieczną, to fakt, że ofiary nie muszą klikać na link ani pobierać złośliwego oprogramowania — wystarczy najechać myszką, aby wywołać atak. Specjaliści ds. cyberbezpieczeństwa z organizacji Cluster25 zauważyli niedawno grupę cyberterrorystów APT28, znaną również jako Fancy Bear, że dystrybuującą prezentację PowerPoint (.PPT) udającą, że pochodzi z Organizacji Współpracy Gospodarczej i Rozwoju (OECD).

APT28 to znana grupa cyberterrorystyczna, która rzekomo jest na liście płac Rosji. Eksperci ds. bezpieczeństwa uważają, że grupa jest częścią Głównego Zarządu Wywiadowczego rosyjskiego Sztabu Generalnego, czyli GRU. Grupa dystrybuuje Graphite za pomocą tej techniki od początku września, uważają eksperci, dodając dalej, że jej najbardziej prawdopodobnymi celami są organizacje w sektorach obronnych i rządowych, krajów w UE, a także Europy Wschodniej.

Jak działa sam atak.

W pliku .PPT znajdują się dwa slajdy, zawierające hiperłącze. Gdy ofiara najedzie myszką na hiperłącze, uruchamia skrypt PowerShell, wykorzystujący narzędzie SyncAppvPublishingServer, wyjaśniono. Skrypt pobiera plik JPEG zatytułowany DSC0002.jpeg z konta Microsoft OneDrive. JPEG jest w rzeczywistości zaszyfrowanym plikiem .DLL o nazwie Imapi2.dll. Plik ten później pobiera i odszyfrowuje drugi plik .JPEG — złośliwe oprogramowanie Graphite w formie przenośnego pliku wykonywalnego Portable Exec (PE).

Jak bronić się przed tego typu atakiem.

Jeśli otrzymamy maila z nieznanego źródła lub po prostu mail będzie wydawał się nam podejrzany (dziwny nadawca, organizacja, która do tej pory się z nami nie komunikowała, czy właśnie organ EU lub inna domena rządowa)  pod żadnym pozorem nie wolno nam otwierać zamieszczonych w nim załączników. Najlepiej poinformować dział IT, że taki mail trafił na waszą skrzynkę pocztową.

Od czasu inwazji na Ukrainę, cyberwojna między Rosją a Zachodem nasiliła się. W połowie kwietnia tego roku Microsoft poinformował o zdjęciu siedmiu domen, które rosyjscy cyberprzestępcy wykorzystywali w cyberatakach na cele ukraińskie, głównie instytucje rządowe i media.