Malware Graphite dikirimkan dengan Powerpoint Mouseover

idNSA.id - APT28 yang terhubung dengan Rusia  menggunakan teknik yang mengandalkan gerakan mouse dalam umpan dokumen Microsoft PowerPoint untuk menyebarkan malware, laporan peneliti dari Cluster25.

Peneliti Cluster25 sedang menganalisis dokumen PowerPoint yang digunakan untuk mengirimkan varian malware Graphite, yang diketahui digunakan secara eksklusif oleh grup APT28, yang memulai rantai serangan saat pengguna memulai mode presentasi dan menggerakkan mouse.

Tindakan pengguna memulai eksekusi skrip PowerShell yang dirancang untuk mengunduh dan menjalankan dropper dari OneDrive.

“Code execution menjalankan skrip PowerShell yang mengunduh dan menjalankan dropper dari OneDrive. Yang terakhir mengunduh muatan yang mengekstrak dan menyuntikkan file PE (Portable Executable) baru, yang analisis menunjukkan varian dari keluarga malware yang dikenal sebagai Graphite, yang menggunakan Microsoft Graph API dan OneDrive untuk komunikasi C&C, membaca analisis yang diterbitkan oleh Cluster25.

Dokumen iming-iming menggunakan template yang berpotensi terkait dengan The Organization for Economic Co-operation and Development (OECD), berisi dua slide, masing-masing ditulis dalam bahasa Inggris dan Prancis, dengan konten yang sama.

Dropper muncul sebagai file dengan ekstensi JPEG (DSC0002.jpeg), ini adalah file DLL yang kemudian didekripsi dan ditulis ke C:\ProgramData\lmapi2.dll.

Malware tahap terakhir adalah versi Graphite, berkomunikasi dengan server C2 melalui domain graph[.]Microsoft[.]com, (yaitu menyalahgunakan layanan Microsoft Graph) dan OneDrive.

Graphite adalah malware filess yang digunakan hanya dalam memori dan digunakan oleh pelaku ancaman untuk memberikan framework pasca-eksploitasi seperti Empire.

Analisis metadata mengungkapkan bahwa pelaku didunia mempekerjakan mereka dalam kampanye antara Januari dan Februari 2022. Namun, para peneliti memperhatikan bahwa URL yang digunakan dalam serangan tersebut tampaknya masih aktif pada bulan Agustus dan September, suatu keadaan yang menunjukkan bahwa kampanye tersebut masih berlangsung.

Target potensial dari kampanye ini adalah organisasi dan individu yang beroperasi di sektor pertahanan dan pemerintahan negara-negara di Eropa dan Eropa Timur.

“Bukti baru-baru ini dapat menunjukkan semacam kegiatan yang masih berlangsung terkait dengan ancaman yang dijelaskan atau beberapa variannya. Terakhir, berdasarkan beberapa indikator tujuan geopolitik, dan artefak yang dianalisis,  Cluster25  mengaitkan kampanye ini dengan pelaku ancaman terkait Rusia yang dikenal sebagai APT28 (alias Fancy Bear, Tim TSAR, Pawn Storm, Sednit) dan menunjukkan entitas dan individu yang beroperasi dalam pertahanan dan sektor pemerintah negara-negara Eropa dan Eropa Timur sebagai target potensial.” kesimpulan laporan.