鼠标悬停也能中招!带毒PPT正用来传播Graphite恶意软件

2022-10-4 09:13:9 Author: 黑白之道(查看原文) 阅读量:5 收藏

据Bleeping Computer网站消息,俄罗斯黑客已经开始使用一种新的代码执行技术,该技术依赖于 Microsoft PowerPoint 演示文稿(PPT)中的鼠标移动来触发恶意 PowerShell 脚本传播 Graphite 恶意软件。恶意代码不需要恶意宏来执行和下载有效负载,从而进行更隐蔽的攻击。

攻击者使用PPT 文件引诱目标,内容据称与经济合作与发展组织 (OECD) 相关,该组织是一个致力于刺激全球经济进步和贸易的政府间组织。PPT 文件内有均以英文和法文提供使用 Zoom 视频会议应用的说明指导。PPT 文件包含一个超链接,作为使用SyncAppvPublishingServer工具启动恶意PowerShell脚本的触发器。

含恶意脚本的PPT文件

感染链

来自威胁情报公司 Cluster25的研究人员以演示模式打开“诱饵文档"并且将鼠标悬停在超链接上时,会激活恶意 PowerShell 脚本并从 Microsoft OneDrive 帐户下载 JPEG 文件(“DSC0002.jpeg”)。该JPEG 是一个加密的 DLL 文件 ( lmapi2.dll ),它被解密并放在“C:\ProgramData\”目录中,随后通过rundll32.exe执行。该DLL 创建了一个用于持久性的注册表项。

触发执行恶意代码

接下来,lmapi2.dll在之前由 DLL 创建的新线程上获取并解密第二个 JPEG 文件并将其加载到内存中。

Cluster25 详细说明了新获取的文件中的每个字符串都需要不同的 XOR 键来进行反混淆。生成的有效负载是可移植可执行 (PE) 形式的 Graphite 恶意软件。Graphite 滥用 Microsoft Graph API 和 OneDrive ,与命令和控制 (C2) 服务器通信。攻击者通过使用固定客户端 ID 访问服务以获取有效的 OAuth2 令牌。

Graphite 使用的固定客户端 ID

研究人员解释说,使用新的 OAuth2 令牌,Graphite 通过枚举 check OneDrive 子目录中的子文件来查询 Microsoft GraphAPI 的新命令。

“如果找到新文件,则下载内容并通过 AES-256-CBC 解密算法解密,恶意软件通过分配新的内存区域并执行接收到的 shellcode 来允许远程命令执行调用一个新的专用线程。”研究人员说道。

总结下来,Graphite 恶意软件的目的是让攻击者将其他恶意软件加载到系统内存中。研究人员表示,攻击者的目标是欧盟和东欧国家国防和政府部门实体,并认为间谍活动已在进行中。

参考来源:Hackers use PowerPoint files for 'mouseover' malware delivery

本文作者:Zicheng, 转载请注明来自FreeBuf.COM

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!

如侵权请私聊我们删文

END

多一个点在看多一条小鱼干


文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjE3ODU3MQ==&mid=2650553206&idx=2&sn=1ebf5e2c59983881750bd573b2483113&chksm=83bd5e92b4cad784d940c634fd615271cfafbebf20824c3c28e84d0236f7ba421682486223aa#rd
如有侵权请联系:admin#unsafe.sh