Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Хакеры Fancy Bear используют курсор мыши для доставки вредоносного ПО

28/09/22

По данным исследовательской компании Cluster25, группировка Fancy Bear (APT28) использует новую технику удаленного выполнения кода. Хакеры используют движения мыши в презентациях Microsoft PowerPoint для выполнения вредоносного PowerShell сценария с помощью утилиты «SyncAppvPublishingServer».

Securitylab сообщает, что атаки нацелены на организации в оборонном и правительственном секторах Евросоюза и восточноевропейских стран.

Техника наведения курсора (mouseover) используется для распространения вредоносного ПО Graphite. Жертву заманивают мошенническими PPT-файлами PowerPoint, которые связаны с Организацией Экономического Сотрудничества и Развития (ОЭСР).

Внутри файла содержатся 2 слайда с инструкциями на английском и французском языках по использованию параметра «Интерпретация» в приложении Zoom.

content-img(506)

При открытии документа-приманки в режиме презентации и наведении курсора мыши на гиперссылку активируется вредоносный PowerShell скрипт для загрузки JPEG файла из учетной записи Microsoft OneDrive.

JPEG файл представляет из себя зашифрованный DLL-файл, который расшифровывается и помещается в каталог «C:\ProgramData\», а затем выполняется через «rundll32.exe». Также создается ключ реестра для сохранения постоянства в сети.

После деобфускации полученная полезная нагрузка — вредоносное ПО Graphite — использует API Microsoft Graph и OneDrive для связи с сервером управления и контроля (C&C). Для доступа к сервису злоумышленник использует фиксированный идентификатор клиента и действительный токен OAuth2.

В конечном итоге Graphite позволяет злоумышленнику загрузить другое вредоносное ПО в системную память и сохранить постоянство в системе. Вредоносное ПО позволяет удаленно выполнять команды, выделяя новую область памяти и выполняя полученный шелл-код с помощью вызова нового выделенного потока.

Темы:ПреступленияFancy BearAPT-группыMicrosoft OfficeКиберугрозы
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...