據(jù)Bleeping Computer網(wǎng)站消息，俄羅斯黑客已經(jīng)開始使用一種新的代碼執(zhí)行技術(shù)，該技術(shù)依賴于 Microsoft PowerPoint 演示文稿（PPT）中的鼠標(biāo)移動(dòng)來(lái)觸發(fā)惡意 PowerShell 腳本傳播 Graphite 惡意軟件。惡意代碼不需要惡意宏來(lái)執(zhí)行和下載有效負(fù)載，從而進(jìn)行更隱蔽的攻擊。

攻擊者使用PPT 文件引誘目標(biāo)，內(nèi)容據(jù)稱與經(jīng)濟(jì)合作與發(fā)展組織 (OECD) 相關(guān)，該組織是一個(gè)致力于刺激全球經(jīng)濟(jì)進(jìn)步和貿(mào)易的政府間組織。PPT 文件內(nèi)有均以英文和法文提供使用 Zoom 視頻會(huì)議應(yīng)用的說(shuō)明指導(dǎo)。PPT 文件包含一個(gè)超鏈接，作為使用SyncAppvPublishingServer工具啟動(dòng)惡意PowerShell腳本的觸發(fā)器。

含惡意腳本的PPT文件

感染鏈

來(lái)自威脅情報(bào)公司 Cluster25的研究人員以演示模式打開“誘餌文檔"并且將鼠標(biāo)懸停在超鏈接上時(shí)，會(huì)激活惡意 PowerShell 腳本并從 Microsoft OneDrive 帳戶下載 JPEG 文件（“DSC0002.jpeg”）。該JPEG 是一個(gè)加密的 DLL 文件 ( lmapi2.dll )，它被解密并放在“C:\ProgramData\”目錄中，隨后通過(guò)rundll32.exe執(zhí)行。該DLL 創(chuàng)建了一個(gè)用于持久性的注冊(cè)表項(xiàng)。

觸發(fā)執(zhí)行惡意代碼

接下來(lái)，lmapi2.dll在之前由 DLL 創(chuàng)建的新線程上獲取并解密第二個(gè) JPEG 文件并將其加載到內(nèi)存中。

Cluster25 詳細(xì)說(shuō)明了新獲取的文件中的每個(gè)字符串都需要不同的 XOR 鍵來(lái)進(jìn)行反混淆。生成的有效負(fù)載是可移植可執(zhí)行 (PE) 形式的 Graphite 惡意軟件。Graphite 濫用 Microsoft Graph API 和 OneDrive ，與命令和控制 (C2) 服務(wù)器通信。攻擊者通過(guò)使用固定客戶端 ID 訪問(wèn)服務(wù)以獲取有效的 OAuth2 令牌。

Graphite 使用的固定客戶端 ID

研究人員解釋說(shuō)，使用新的 OAuth2 令牌，Graphite 通過(guò)枚舉 check OneDrive 子目錄中的子文件來(lái)查詢 Microsoft GraphAPI 的新命令。

“如果找到新文件，則下載內(nèi)容并通過(guò) AES-256-CBC 解密算法解密，惡意軟件通過(guò)分配新的內(nèi)存區(qū)域并執(zhí)行接收到的 shellcode 來(lái)允許遠(yuǎn)程命令執(zhí)行調(diào)用一個(gè)新的專用線程?！毖芯咳藛T說(shuō)道。

總結(jié)下來(lái)，Graphite 惡意軟件的目的是讓攻擊者將其他惡意軟件加載到系統(tǒng)內(nèi)存中。研究人員表示，攻擊者的目標(biāo)是歐盟和東歐國(guó)家國(guó)防和政府部門實(shí)體，并認(rèn)為間諜活動(dòng)已在進(jìn)行中。