大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【...】,然后点击【设为星标】即可。
近年来,俄罗斯APT28组织(又称Sofacy或Fancy Bear)频繁使用高超的网络攻击手段。而最近的一项研究揭示了他们的一种新型攻击方式:利用简单的鼠标悬停操作在PowerPoint演示文稿中触发恶意代码。
🎯 攻击方式揭秘
研究机构Cluster25披露,APT28此次攻击的核心在于利用PowerShell脚本和Microsoft Graph API:
1. 攻击媒介:一个嵌入恶意链接的PowerPoint文件。
2. 触发方式:用户只需将鼠标悬停在链接上,攻击即被激活——无需启用宏。
3. 执行流程:
恶意链接触发SyncAppvPublishingServer.exe工具。
下载并执行PowerShell脚本。
将恶意DLL文件伪装为JPEG图片,从OneDrive下载至本地目录。
通过rundll32.exe实现持久化攻击。
这种方式不需要管理员权限即可成功攻击,目标往往是欧洲国家的国防和政府部门。
## 🎭 APT28的“影子”
APT28自2004年以来一直活跃,主要为俄罗斯政府收集情报。
其标志性攻击包括:
2016年针对美国政治组织的攻击;
针对核设施的情报窃取。
此次攻击再一次证明了其利用合法平台隐藏恶意活动的高超能力。利用Microsoft Graph API和OneDrive等可信域名,APT28能够显著延长恶意软件的潜伏时间。
## 💡 如何防范这类攻击?
1. 禁用不必要的服务
如果您不使用Windows应用程序虚拟化功能(App-V),建议禁用SyncAppvPublishingServer.exe。
2. 启用Office的保护视图
确保Office的受保护视图已开启,这可以有效阻止恶意代码执行。
设置路径:文件 > 选项 > 信任中心 > 受保护视图设置。
3. 安装强力安全软件
例如Malwarebytes等安全工具,可以检测并阻止类似攻击。
推荐阅读:知识星球连载创作"全球高级持续威胁:网络世界的隐形战争",总共26章,相信能够为你带来不一样的世界认知,欢迎感兴趣的朋友入圈沟通交流。
喜欢文章的朋友动动发财手点赞、转发、赞赏,你的每一次认可,都是我继续前进的动力。
原文始发于微信公众号(紫队安全研究):APT28新型攻击手法:用PowerPoint鼠标悬停触发恶意软件下载
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论