Des chercheurs ont découvert une nouvelle campagne de cyber-espionnage qui exploite une vulnérabilité dangereuse de PowerPoint pour diffuser le logiciel malveillant Graphite sur les terminaux cibles (s’ouvre dans un nouvel onglet).
Ce qui rend cette campagne particulièrement dangereuse, c’est le fait que les victimes n’ont pas besoin de cliquer sur un lien ou de télécharger le malware lui-même – un survol de la souris suffit pour déclencher l’attaque.
Les chercheurs en cybersécurité de Cluster25 ont récemment repéré APT28, également connu sous le nom de Fancy Bear, distribuant une présentation PowerPoint (.PPT) prétendant provenir de l’Organisation de coopération et de développement économiques (OCDE).
Dans le .PPT se trouvent deux diapositives contenant un lien hypertexte. Lorsque la victime passe sa souris sur le lien hypertexte, elle déclenche un script PowerShell, à l’aide de l’utilitaire SyncAppvPublishingServer, a-t-il été expliqué. Le script télécharge un fichier JPEG intitulé DSC0002.jpeg à partir d’un compte Microsoft OneDrive. Le JPEG est, en fait, un fichier .DLL crypté appelé Imapi2.dll. Ce fichier extrait et décrypte ensuite un deuxième fichier .JPEG – le logiciel malveillant Graphite sous forme d’exécutable portable (PE).
Selon Malpedia, Graphite a été découvert pour la première fois par des chercheurs de Trellix, qui l’ont décrit comme un malware utilisant l’API Microsoft Graph et OneDrive comme C2. Initialement, il était déployé en mémoire et son objectif était de télécharger l’agent de post-exploitation Empire.
APT28 est un acteur de la menace bien connu, prétendument à la solde de la Russie. Les experts en sécurité pensent que le groupe fait partie de la Direction principale du renseignement de l’état-major russe, ou GRU.
Le groupe distribue Graphite via cette technique depuis début septembre, estiment les chercheurs, ajoutant en outre que ses cibles les plus probables sont les organisations des secteurs de la défense et du gouvernement, des pays de l’UE, ainsi que d’Europe de l’Est.
Depuis l’invasion de l’Ukraine, la cyber-guerre entre la Russie et l’Occident s’est intensifiée. À la mi-avril de cette année, Microsoft a signalé avoir supprimé sept domaines que les cybercriminels russes utilisaient dans des cyberattaques contre des cibles ukrainiennes, principalement des institutions gouvernementales et des médias.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)