据FreeBuf网站消息，俄罗斯黑客已经开始使用一种新的代码执行技术，该技术依赖于 Microsoft PowerPoint 演示文稿（PPT）中的鼠标移动来触发恶意 PowerShell 脚本传播 Graphite 恶意软件。

恶意代码不需要恶意宏来执行和下载有效负载，从而进行更隐蔽的攻击。

攻击者使用PPT 文件引诱目标，内容据称与经济合作与发展组织 (OECD) 相关，该组织是一个致力于刺激全球经济进步和贸易的政府间组织。

PPT 文件内有均以英文和法文提供使用 Zoom 视频会议应用的说明指导。

PPT 文件包含一个超链接，作为使用SyncAppvPublishingServer工具启动恶意PowerShell脚本的触发器。

含恶意脚本的PPT文件

感染链

来自威胁情报公司 Cluster25的研究人员以演示模式打开“诱饵文档”并且将鼠标悬停在超链接上时，会激活恶意 PowerShell 脚本并从 Microsoft OneDrive 帐户下载 JPEG 文件（“DSC0002.jpeg”）。

该JPEG 是一个加密的 DLL 文件 ( lmapi2.dll )，它被解密并放在“C:ProgramData”目录中，随后通过rundll32.exe执行。该DLL 创建了一个用于持久性的注册表项。

触发执行恶意代码

接下来，lmapi2.dll在之前由 DLL 创建的新线程上获取并解密第二个 JPEG 文件并将其加载到内存中。

Cluster25 详细说明了新获取的文件中的每个字符串都需要不同的 XOR 键来进行反混淆。生成的有效负载是可移植可执行 (PE) 形式的 Graphite 恶意软件。

Graphite 滥用 Microsoft Graph API 和 OneDrive ，与命令和控制 (C2) 服务器通信。攻击者通过使用固定客户端 ID 访问服务以获取有效的 OAuth2 令牌。

Graphite 使用的固定客户端 ID

研究人员解释说，使用新的 OAuth2 令牌，Graphite 通过枚举 check OneDrive 子目录中的子文件来查询 Microsoft GraphAPI 的新命令。

“如果找到新文件，则下载内容并通过 AES-256-CBC 解密算法解密，恶意软件通过分配新的内存区域并执行接收到的 shellcode 来允许远程命令执行调用一个新的专用线程。”研究人员说道。

总结下来，Graphite 恶意软件的目的是让攻击者将其他恶意软件加载到系统内存中。

研究人员表示，攻击者的目标是欧盟和东欧国家国防和政府部门实体，并认为间谍活动已在进行中。