28/01/22
Высокопоставленные правительственные чиновники и крупные компании оборонной промышленности в Западной Азии стали целью вредоносной кампании с использованием вредоносного ПО Graphite.
По словам специалистов из компании Trellix (появившейся в результате слияния McAfee Enterprise и FireEye), кампания проводилась с октября по ноябрь прошлого года и была разделена на несколько этапов с целью избежать обнаружения. Цепочка заражения началась с загрузчика Microsoft Excel, использующего уязвимость в MSHTML (CVE-2021-40444) для выполнения кода в памяти, и продолжилась вредоносным ПО под названием Graphite.
Как предполагают исследователи, атаки могут быть связаны с группировкой APT28 (также известной как Fancy Bear, Pawn Storm, Sednit, Strontium и Tsar Team). Основываясь на анализе многочисленных артефактов, связанных с этими атаками, исследователи выявили совпадения с более старыми образцами вредоносного ПО группировки APT28. Тем не менее эксперты не нашли однозначных свидетельств того, что кампания связана с данными злоумышленниками.
Киберпреступники настроили командный сервер Empire в июле 2021 года. Вредоносное ПО Graphite использует в качестве командного сервера OneDrive и использует Microsoft Graph API для подключения к нему.
Файл Microsoft Excel, предположительно отправленный жертвам по электронной почте, использовался для эксплуатации уязвимости удаленного выполнения кода в MSHTML и дальнейшего запуска вредоносного DLL-файла, который извлекал и запускал вредоносное ПО Graphite.
На четвертом этапе атаки выполнялись различные процессы для загрузки агента Empire на устройство жертвы. Пятым этапом атаки являлся Empire PowerShell C#, за которым следовал этап Empire HTTP PowerShell.
Атаки были нацелены на правительственные организации и частных лиц, связанных с оборонной промышленностью в Азии. Однако, эксперты предполагают, что целью атак могли стать Польша и другие страны Восточной Европы.
