Злоумышленники начали использовать презентации PowerPoint в качестве метода выполнения кода и доставки Графитовое вредоносное ПО в целевых атаках.
APT28 (Необычный медведь), группа злоумышленников, связанных с Россией, недавно была замечена в использовании этого метода для распространения вредоносного ПО Graphite. Файл якобы связан с организацией экономического прогресса, ОЭСР; он содержит инструкции на английском и французском языках по использованию Приложение Zoom Функция «интерпретация».
Согласно исследованию, метаданные указывают на то, что хакеры начали подготовку к кампании в начале этого года; они есть Ориентация на организации в оборонном и государственном секторах стран Европейского Союза и Восточная Европа.
Анализ атаки
Этот метод основан на том, что жертва наводит указатель мыши на гиперссылку в режиме презентации для выполнения вредоносного кода. PowerShell сценарий, а не макросы. В гиперссылке используется SyncAppvPublishingServer утилита для запуска PowerShell, что приводит к загрузке файла JPEG (DSC0002.jpeg) из учетной записи Microsoft OneDrive.
Файл JPEG расшифровывается, и результирующий файл DLL lmapi2[.]dll опускается в «C:ProgramData” перед запуском rundll32[.]исполняемый файл. Раздел реестра создается для обеспечения постоянства библиотеки DLL.
В новом потоке, ранее запущенном библиотекой DLL, lmapi2.dll извлекает, расшифровывает и загружает второй файл JPEG (DSC0001.jpeg) в память. Затем вредоносное ПО динамически вызывает NtAllocateVirtualMemory API, записывает расшифрованный контент, а затем запускает его.
Исследователи объясняют это особым ключ XOR должен использоваться для деобфускации каждой строки в недавно загруженном файле. Переносимое исполняемое вредоносное ПО Graphite является последней полезной нагрузкой.
Цель вредоносных программ Graphite — дать злоумышленнику возможность вставить в системную память другие вредоносные программы.
Для связи с C2-сервер, Graphite использует преимущества Microsoft Graph API и OneDrive. Злоумышленник получает доступ к службе с фиксированным идентификатором клиента и действительным Токен OAuth2. Исследователи объясняют, что с помощью нового токена OAuth2 Graphite выполняет поиск в Microsoft GraphAPI для новых команд, перечислив дочерние файлы в чеке Один диск подкаталог.
Согласно с Кластер25если новый файл идентифицируется, содержимое загружается и расшифровывается Алгоритм дешифрования AES-256-CBC. Вредоносная программа также позволяет удаленное сотрудничествоиз исполнение путем создания новой области памяти и выполнения входящего шелл-кода путем вызова нового выделенного потока.
“Parliament_rew.xlsx” а также “Бюджет миссий.xlsxФайлы Excel использовались в кампании, которую изучала Trellix, и, похоже, они были направлены на государственных служащих и людей, работающих в оборонном секторе.
ТТП
ТАКТИКА |
ТЕХНИКА |
ОПИСАНИЕ |
Начальный доступ |
Т1566.001 |
Фишинг: Целевое фишинговое вложение |
Исполнение |
Т1059.001 |
Интерпретатор команд и сценариев: PowerShell |
Исполнение |
Т1106 |
Собственный API |
Исполнение |
Т1204.002 |
Пользовательское выполнение: вредоносный файл |
Упорство |
Т1546.015 |
Выполнение, инициируемое событием: перехват объектной модели компонента |
Повышение привилегий |
Т1546.015 |
Выполнение, инициируемое событием: перехват объектной модели компонента |
Уклонение от защиты |
Т1140 |
Деобфускация/декодирование файлов или информации |
Уклонение от защиты |
Т1202 |
Непрямое выполнение команды |
Уклонение от защиты |
Т1036.005 |
Маскарадинг: Соответствие законному имени или местоположению |
Уклонение от защиты |
Т1112 |
Изменить реестр |
Уклонение от защиты |
Т1027 |
Замаскированные файлы или информация |
Уклонение от защиты |
Т1055.001 |
Внедрение процесса: внедрение библиотеки динамической компоновки |
Открытие |
Т1082 |
Обнаружение системной информации |
Командование и контроль |
Т1071.001 |
Протокол прикладного уровня: веб-протоколы |
IoC графитового вредоносного ПО
MD5:
- c0060c0741833af67121390922c44f91
- ef1288de782e65d6e5bd6a327157988f
- 2ff3e6c9244ef965295aa60879d1aa6b
- 9a915313d02345e149e6ba566fe85c47
SHA1:
- 9cd7f14d85814c48be3fbf73891415978a7aa882
- 622eb93e34445c752eeaa623ef9ac6978e58f2fc
- a23efb6aa5a242c61c5d50a967a8f29da164c954
- 4c813ad68f2f1da6b2c59d11ad983cfa65e1a187
- 4c813ad68f2f1da6b2c59d11ad983cfa65e1a187
SHA256:
- 34aca02d3a4665f63fddb354551b5eff5a7e8877032ddda6db4f5c42452885ad
- efa5b49bdd086125b2b7d4058d09566f1db5f183c2a6332c597322f85107667a
- d1bceccf5d2b900a6b601c612346fdb3fa5bb0e2faeefcac3f9c29dc1d74838d
- Be180a7c43734b7125b2d5cea7edd0174811a58113b048f5fe687db52db47fe3
Домен:
- 9b5uja[.]являюсь[.]файлы[.]1drv.com
- кдмзлв[.]являюсь[.]файлы[.]1дрв[.]ком
URL-адрес:
- hxxps://9b5uja[.]являюсь[.]файлы[.]1дрв[.]com/y4mpYJ245I931DUGr7BV-dwLD7SReTqFr1N7eQOKSH_ug2G18Jd6i3SRqYqgugj3FA2JQQ7JqclvWH13Br3B5Ux-F6QcqADr-FowC_9PZi1Aj7uckcK8Uix_7ja1tF6C_8-5xYgm6zwjbXsrlEcTEenAyA8BzEaGPudutl1wMDkzVr6Wmn8_qRmYejLgbNoQmPTUe3P5NKFFLRjeeU_JhvA/DSC0002[.]jpeg?скачать
- hxxps://kdmzlw[.]являюсь[.]файлы[.]1дрв[.]com/y4mv4glUgvW9nl8z8GU71PhPw0oRtve9QpZ0pEgwJN1q_TlGY5yl5Mvkrc5rUh0Uxxknlr1qymWyCbPrkKOFgL4CARScSn9UMhq3c5hSNOQsDOamYLmOfN61lUtQO10vxtn0I7QROJdOtQ42wDsaiACGR5ZrmYwt0SmZkphGWQpT2gOFrsUxjg8_7QT01VTABiGr3T6xpWrTmFT5yu4toQ/DSC0001[.]jpeg?скачать
Вы можете найти правила Snort и Yara здесь.