滑鼠懸停也能中招!帶毒PPT正用來傳播Graphite惡意軟體

語言: CN / TW / HK

據Bleeping Computer網站訊息,俄羅斯黑客已經開始使用一種新的程式碼執行技術,該技術依賴於 Microsoft PowerPoint 簡報(PPT)中的滑鼠移動來觸發惡意 PowerShell 指令碼傳播 Graphite 惡意軟體。惡意程式碼不需要惡意巨集來執行和下載有效負載,從而進行更隱蔽的攻擊。

攻擊者使用PPT 檔案引誘目標,內容據稱與經濟合作與發展組織 (OECD) 相關,該組織是一個致力於刺激全球經濟進步和貿易的政府間組織。PPT 檔案內有均以英文和法文提供使用 Zoom 影片會議應用的說明指導。PPT 檔案包含一個超連結,作為使用SyncAppvPublishingServer工具啟動惡意PowerShell指令碼的觸發器。

含惡意指令碼的PPT檔案

感染鏈

來自威脅情報公司 Cluster25的研究人員以演示模式開啟“誘餌文件"並且將滑鼠懸停在超連結上時,會啟用惡意 PowerShell 指令碼並從 Microsoft OneDrive 帳戶下載 JPEG 檔案(“DSC0002.jpeg”)。該JPEG 是一個加密的 DLL 檔案 ( lmapi2.dll ),它被解密並放在“C:\ProgramData\”目錄中,隨後通過rundll32.exe執行。該DLL 建立了一個用於永續性的登錄檔項。

觸發執行惡意程式碼

接下來,lmapi2.dll在之前由 DLL 建立的新執行緒上獲取並解密第二個 JPEG 檔案並將其載入到記憶體中。

Cluster25 詳細說明了新獲取的檔案中的每個字串都需要不同的 XOR 鍵來進行反混淆。生成的有效負載是可移植可執行 (PE) 形式的 Graphite 惡意軟體。Graphite 濫用 Microsoft Graph API 和 OneDrive ,與命令和控制 (C2) 伺服器通訊。攻擊者通過使用固定客戶端 ID 訪問服務以獲取有效的 OAuth2 令牌。

Graphite 使用的固定客戶端 ID

研究人員解釋說,使用新的 OAuth2 令牌,Graphite 通過列舉 check OneDrive 子目錄中的子檔案來查詢 Microsoft GraphAPI 的新命令。

“如果找到新檔案,則下載內容並通過 AES-256-CBC 解密演算法解密,惡意軟體通過分配新的記憶體區域並執行接收到的 shellcode 來允許遠端命令執行呼叫一個新的專用執行緒。”研究人員說道。

總結下來,Graphite 惡意軟體的目的是讓攻擊者將其他惡意軟體載入到系統記憶體中。研究人員表示,攻擊者的目標是歐盟和東歐國家國防和政府部門實體,並認為間諜活動已在進行中。

參考來源: Hackers use PowerPoint files for 'mouseover' malware delivery