鼠标悬停也中招!带毒 PPT 正用来传播 Graphite 恶意软件

admin 2022年9月29日00:17:39安全新闻评论18 views1272字阅读4分14秒阅读模式
鼠标悬停也中招!带毒 PPT 正用来传播 Graphite 恶意软件

关键词

PowerShell

据FreeBuf网站消息,俄罗斯黑客已经开始使用一种新的代码执行技术,该技术依赖于 Microsoft PowerPoint 演示文稿(PPT)中的鼠标移动来触发恶意 PowerShell 脚本传播 Graphite 恶意软件。


恶意代码不需要恶意宏来执行和下载有效负载,从而进行更隐蔽的攻击。


攻击者使用PPT 文件引诱目标,内容据称与经济合作与发展组织 (OECD) 相关,该组织是一个致力于刺激全球经济进步和贸易的政府间组织。


PPT 文件内有均以英文和法文提供使用 Zoom 视频会议应用的说明指导。


PPT 文件包含一个超链接,作为使用SyncAppvPublishingServer工具启动恶意PowerShell脚本的触发器。

鼠标悬停也中招!带毒 PPT 正用来传播 Graphite 恶意软件

含恶意脚本的PPT文件


感染链

来自威胁情报公司 Cluster25的研究人员以演示模式打开“诱饵文档”并且将鼠标悬停在超链接上时,会激活恶意 PowerShell 脚本并从 Microsoft OneDrive 帐户下载 JPEG 文件(“DSC0002.jpeg”)。


该JPEG 是一个加密的 DLL 文件 ( lmapi2.dll ),它被解密并放在“C:ProgramData”目录中,随后通过rundll32.exe执行。该DLL 创建了一个用于持久性的注册表项。

鼠标悬停也中招!带毒 PPT 正用来传播 Graphite 恶意软件

触发执行恶意代码


接下来,lmapi2.dll在之前由 DLL 创建的新线程上获取并解密第二个 JPEG 文件并将其加载到内存中。


Cluster25 详细说明了新获取的文件中的每个字符串都需要不同的 XOR 键来进行反混淆。生成的有效负载是可移植可执行 (PE) 形式的 Graphite 恶意软件。


Graphite 滥用 Microsoft Graph API 和 OneDrive ,与命令和控制 (C2) 服务器通信。攻击者通过使用固定客户端 ID 访问服务以获取有效的 OAuth2 令牌。


鼠标悬停也中招!带毒 PPT 正用来传播 Graphite 恶意软件

Graphite 使用的固定客户端 ID


研究人员解释说,使用新的 OAuth2 令牌,Graphite 通过枚举 check OneDrive 子目录中的子文件来查询 Microsoft GraphAPI 的新命令。


“如果找到新文件,则下载内容并通过 AES-256-CBC 解密算法解密,恶意软件通过分配新的内存区域并执行接收到的 shellcode 来允许远程命令执行调用一个新的专用线程。”研究人员说道。


总结下来,Graphite 恶意软件的目的是让攻击者将其他恶意软件加载到系统内存中。


研究人员表示,攻击者的目标是欧盟和东欧国家国防和政府部门实体,并认为间谍活动已在进行中。

   END  

阅读推荐

鼠标悬停也中招!带毒 PPT 正用来传播 Graphite 恶意软件【安全圈】男子自学黑客技术,入侵企业网站植入色情服务信息,以此牟利!

鼠标悬停也中招!带毒 PPT 正用来传播 Graphite 恶意软件

【安全圈】美国渗透控制中国基础设施核心设备,窃取中国敏感用户隐私数据

鼠标悬停也中招!带毒 PPT 正用来传播 Graphite 恶意软件

【安全圈】“匿名者”组织声称黑进了俄罗斯国防部网站!

鼠标悬停也中招!带毒 PPT 正用来传播 Graphite 恶意软件

【安全圈】黑客勒索不成竟然直接公开个人私密资料!



鼠标悬停也中招!带毒 PPT 正用来传播 Graphite 恶意软件
鼠标悬停也中招!带毒 PPT 正用来传播 Graphite 恶意软件

安全圈

鼠标悬停也中招!带毒 PPT 正用来传播 Graphite 恶意软件

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握!

鼠标悬停也中招!带毒 PPT 正用来传播 Graphite 恶意软件

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧!


鼠标悬停也中招!带毒 PPT 正用来传播 Graphite 恶意软件

原文始发于微信公众号(安全圈):【安全圈】鼠标悬停也中招!带毒 PPT 正用来传播 Graphite 恶意软件

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月29日00:17:39
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  鼠标悬停也中招!带毒 PPT 正用来传播 Graphite 恶意软件 http://cn-sec.com/archives/1322723.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: