Gli analisti della sicurezza di Cluster25 hanno recentemente riportato una nuova tecnica di esecuzione del codice utilizzata dagli hacker, che si pensa lavorino per la Russia.

Questa nuova tipologia di attacco utilizza il movimento del mouse (mouseover) per avviare uno script PowerShell malevolo nel computer, dopo l'apertura di una presentazione PowerPoint.

L'attacco si dimostra ancora più insidioso poiché il codice malevolo non richiede l'esecuzione di alcuna macro per poter scaricare il payload ed eseguire il codice dannoso.

Secondo il rapporto, il malware Graphite è stato introdotto nel sistema di recente, il 9 settembre, utilizzando la nuova tecnica di distribuzione, dal gruppo di cybercriminali APT28 (aka Fancy Bear, TSAR Team).

Nel luglio 2018, il governo degli Stati Uniti ha pubblicato un rapporto in cui affermava che questo gruppo di cybercriminali sarebbe affiliato alla direzione principale dell'intelligence dello stato maggiore russo.

Analisi Tecnica

Un file .PPT che solo apparentemente proviene dall'OCSE (Organizzazione per la Cooperazione e lo Sviluppo Economico), viene utilizzato dall'attaccante per colpire ed infettare gli obiettivi.

Il file PPT contiene due diapositive, entrambe contengono istruzioni, in inglese e francese, per l'utilizzo dell'opzione "Interpretation" della piattaforma di videoconferenza Zoom.

Utilizzando l'utilità SyncAppvPublishingServer, uno script di PowerShell dannoso viene avviato tramite un collegamento ipertestuale contenuto nel file PPT. Il malware è noto in quanto è stato distribuito attraverso il servizio Graph di Microsoft (da giugno 2017 è disponibile online la documentazione di questa tecnica) ed utilizzato come vettore per i framework post-exploitation Empire.

Non appena la vittima passa il mouse su un collegamento ipertestuale contenuto nel documento esca quando è in modalità presentazione, viene aperto uno script PowerShell dannoso. Non è necessario fare click sul collegamento per attivare la catena dell'infezione.

Successivamente, l'attore della minaccia scarica un file JPEG da un account Microsoft OneDrive ("DSC0002.jpeg") con l'aiuto di questo script dannoso:

Il file così scaricato viene quindi convertito in un file DLL che verrà decrittografato e posizionato nel percorso C:\ProgramData\lmapi2.dll sul computer locale.

A questo punto sarà presente un file PE (Portable Executable) a 64 bit denominato lmapi2.dll utilizzato come file DLL. Al momento dell'esecuzione di questo file, verrà creato un nuovo thread che scaricherà un altro file con estensione JPEG (DSC0001.jpeg), decrittografandolo con un chiave pubblica presente all'interno del codice (hardcoded).

Successivamente, verrebbe copiato in una regione di memoria allocata un nuovo file PE, il malware Graphite.

Inoltre, allo scopo di comunicare con il server C2, Graphite utilizza i seguenti due elementi:

• Microsoft Graph API
• OneDrive

Per ottenere un token OAuth2 valido, l'attore della minaccia utilizza un ID client fisso che può essere utilizzato per accedere al servizio. Nella sottodirectory di controllo di OneDrive, Graphite enumera i file figlio del nuovo token OAuth2 e interroga Microsoft GraphAPIs per i nuovi comandi:

Questo malware è progettato per consentire all'attaccante di caricare altro malware nella memoria del sistema per ottenere il controllo dello stesso.