Kẻ đe dọa do nhà nước Nga tài trợ có tên APT28 đã bị phát hiện sử dụng một phương pháp thực thi mã mới sử dụng chuyển động của chuột trong các tài liệu Microsoft PowerPoint để triển khai phần mềm độc hại.
Công ty an ninh mạng Cluster25 cho biết kỹ thuật này “được thiết kế để kích hoạt khi người dùng khởi động chế độ trình chiếu và di chuyển chuột”. “Việc thực thi mã chạy một tập lệnh PowerShell tải xuống và thực thi một ống nhỏ giọt từ OneDrive.”
Ống nhỏ giọt, một tệp hình ảnh dường như vô hại, có chức năng như một đường dẫn cho tải trọng tiếp theo, một biến thể của phần mềm độc hại được gọi là Graphite, sử dụng Microsoft Graph API và OneDrive cho giao tiếp lệnh và kiểm soát (C2) để lấy thêm trọng tải.
Cuộc tấn công sử dụng một tài liệu thu hút sử dụng một mẫu có khả năng được liên kết với Tổ chức Hợp tác và Phát triển Kinh tế (OECD), một tổ chức liên chính phủ có trụ sở tại Paris.
Cluster25 lưu ý rằng các cuộc tấn công có thể đang diễn ra, vì các URL được sử dụng trong các cuộc tấn công đã hoạt động vào tháng 8 và tháng 9, mặc dù trước đó tin tặc đã đặt nền móng cho chiến dịch từ tháng 1 đến tháng 2.
Các mục tiêu tiềm năng của hoạt động có thể bao gồm các thực thể và cá nhân hoạt động trong lĩnh vực quốc phòng và chính phủ của châu Âu và Đông Âu, công ty cho biết thêm, trích dẫn một phân tích về các mục tiêu địa chính trị và các hiện vật thu thập được.
Đây không phải là lần đầu tiên tập thể đối thủ triển khai Graphite. Vào tháng 1 năm 2022, Trellix đã tiết lộ một chuỗi tấn công tương tự khai thác lỗ hổng thực thi mã từ xa MSHTML (CVE-2021-40444) để đánh sập cửa hậu.
Sự phát triển này là một dấu hiệu cho thấy APT28 (hay còn gọi là Fancy Bear) tiếp tục trau dồi nghề kỹ thuật của mình và phát triển các phương pháp của nó để có tác động tối đa khi các tuyến khai thác từng được coi là khả thi (ví dụ: macro) không còn mang lại lợi nhuận.
.
