【安全资讯】俄罗斯组织使用“鼠标悬停”技术,传播Graphite恶意软件

猎影实验室 2022-09-28 07:03:31 664人浏览

俄罗斯黑客开始使用一种新的代码执行技术,该技术依赖于Microsoft PowerPoint演示文稿中的鼠标移动来触发恶意PowerShell脚本,从而传播 Graphite 恶意软件。恶意代码不需要恶意宏来执行和下载有效载荷,从而进行更隐蔽的攻击。攻击者使用PowerPoint(.PPT)文件引诱目标,该文件据称与经济合作与发展组织(OECD)相关。PPT文件包含一个超链接,作为启动恶意PowerShell脚本的触发器。当以演示模式打开诱饵文档并且受害者将鼠标悬停在超链接上时,会激活恶意PowerShell脚本从Microsoft OneDrive帐户下载JPEG文件。

 

生成的有效负载是可移植可执行 (PE) 形式的 Graphite 恶意软件。Graphite滥用 Microsoft Graph API和OneDrive,与命令和控制 (C2) 服务器通信。研究人员将这一活动归因于与俄罗斯有关的攻击组织APT28(又名Fancy Bear),攻击者的目标是欧盟和东欧国家国防和政府部门实体。

失陷指标(IOC)14
APT APT28 Graphite 政府部门 国防
    0条评论
    0
    0
    分享
    安恒威胁分析平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。