俄罗斯APT Fancy Bear利用新的攻击技巧:PowerPoint 文件中的鼠标移动

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号现在只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

随着网络安全威胁的不断演变，俄罗斯政府支持的黑客组织 Fancy Bear（又名 APT28）再次活跃在公众视野。这一与俄罗斯军事情报部门 GRU 有关的黑客团体，近期利用了一种新的代码执行方法，通过 MS PowerPoint 文件中的鼠标移动传播名为 Graphite 的恶意软件。

黑客手段解析

据威胁情报公司 Cluster 25 的报告显示，Fancy Bear 通过 MS PowerPoint 演示文稿中的鼠标移动来执行恶意的 PowerShell 脚本。具体来说，该组织利用了 SyncAppvPublishingServer 实用程序。当用户在演示模式下运行 PowerPoint 并移动鼠标时，攻击立即开始。PowerShell 脚本被运行，随后从 OneDrive 下载并执行恶意 dropper。

攻击细节

此次攻击使用的 PowerPoint 文件包含两张幻灯片，分别用法语和英语提供说明，并在 Zoom 应用程序中提供解释选项。图像文件为加密的 DLL 文件，该文件被解密后放置在“C:ProgramData”目录中，并通过 rundll32.exe 运行。同时，一个注册表项被创建以确保持久性。

这个恶意投放器看似无害，但实则是后续有效载荷的通道，利用了 Graphite 恶意软件变体。Graphite 使用 Microsoft Graph API 和 OneDrive 进行 C2 通信并检索其他有效载荷。Fancy Bear 还利用有效的 OAuth2 令牌和固定的客户端 ID 来访问这些服务。

攻击目标

此次攻击活动的潜在目标包括政府和国防部门的个人和组织，尤其是东欧和欧洲的实体。考虑到 Fancy Bear 的地理重点，这表明该组织旨在实现特定的战略目标。研究人员指出，这些攻击仍在继续，攻击中使用的 URL 在 8 月至 9 月期间处于活跃状态，而黑客早在 1 月份就已开始为此次攻击做准备。

结语

随着网络威胁的日益复杂，Fancy Bear 这样高水平的黑客组织仍然是全球网络安全的一大挑战。此次通过 PowerPoint 文件中的鼠标移动传播恶意软件的手段，再次提醒我们要时刻保持警惕，防范来自网络世界的隐形威胁。

欢迎喜欢文章的朋友点赞、转发、赞赏，你的每一次鼓励，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：俄罗斯APT Fancy Bear利用新的攻击技巧:PowerPoint 文件中的鼠标移动