Jump to content
  • Hello visitors, welcome to the Hacker World Forum!

    Red Team 1949  (formerly CHT Attack and Defense Team) In this rapidly changing Internet era, we maintain our original intention and create the best community to jointly exchange network technologies. You can obtain hacker attack and defense skills and knowledge in the forum, or you can join our Telegram communication group to discuss and communicate in real time. All kinds of advertisements are prohibited in the forum. Please register as a registered user to check our usage and privacy policy. Thank you for your cooperation.

    TheHackerWorld Official

鼠标悬停也能中招!带毒 PPT 正用来传播 Graphite 恶意软件

 Share


Ken1Ve

Recommended Posts

据Bleeping Computer网站消息,俄罗斯黑客已经开始使用一种新的代码执行技术,该技术依赖于 Microsoft PowerPoint 演示文稿(PPT)中的鼠标移动来触发恶意 PowerShell 脚本传播 Graphite 恶意软件。恶意代码不需要恶意宏来执行和下载有效负载,从而进行更隐蔽的攻击。

攻击者使用PPT 文件引诱目标,内容据称与经济合作与发展组织 (OECD) 相关,该组织是一个致力于刺激全球经济进步和贸易的政府间组织。PPT 文件内有均以英文和法文提供使用 Zoom 视频会议应用的说明指导。PPT 文件包含一个超链接,作为使用SyncAppvPublishingServer工具启动恶意PowerShell脚本的触发器。

1664246833_6332643131b2513db6f74

含恶意脚本的PPT文件

感染链

来自威胁情报公司 Cluster25的研究人员以演示模式打开“诱饵文档”并且将鼠标悬停在超链接上时,会激活恶意 PowerShell 脚本并从 Microsoft OneDrive 帐户下载 JPEG 文件(“DSC0002.jpeg”)。该JPEG 是一个加密的 DLL 文件 ( lmapi2.dll ),它被解密并放在“C:\ProgramData\”目录中,随后通过rundll32.exe执行。该DLL 创建了一个用于持久性的注册表项。

1664247039_633264ffa113ab63952de

触发执行恶意代码

接下来,lmapi2.dll在之前由 DLL 创建的新线程上获取并解密第二个 JPEG 文件并将其加载到内存中。

Cluster25 详细说明了新获取的文件中的每个字符串都需要不同的 XOR 键来进行反混淆。生成的有效负载是可移植可执行 (PE) 形式的 Graphite 恶意软件。Graphite 滥用 Microsoft Graph API 和 OneDrive ,与命令和控制 (C2) 服务器通信。攻击者通过使用固定客户端 ID 访问服务以获取有效的 OAuth2 令牌。

1664247110_63326546e7d6a3c7b05a5

Graphite 使用的固定客户端 ID

研究人员解释说,使用新的 OAuth2 令牌,Graphite 通过枚举 check OneDrive 子目录中的子文件来查询 Microsoft GraphAPI 的新命令。

“如果找到新文件,则下载内容并通过 AES-256-CBC 解密算法解密,恶意软件通过分配新的内存区域并执行接收到的 shellcode 来允许远程命令执行调用一个新的专用线程。”研究人员说道。

总结下来,Graphite 恶意软件的目的是让攻击者将其他恶意软件加载到系统内存中。研究人员表示,攻击者的目标是欧盟和东欧国家国防和政府部门实体,并认为间谍活动已在进行中。


转自 FreeBuf,原文链接:https://www.freebuf.com/news/345682.html

封面来源于网络,如有侵权请联系删除

Link to post
Link to comment
Share on other sites

 Share

discussion group

discussion group

    You don't have permission to chat.
    • Recently Browsing   0 members

      • No registered users viewing this page.
    ×
    ×
    • Create New...