Bilgisayar Korsanları, Kötü Amaçlı Yazılım Sunmak İçin Microsoft PowerPoint Sunularında Fare Hareketini Kullanıyor

Cluster25'teki güvenlik analistleri tarafından bildirildiği gibi Rusya için çalıştığı düşünülen bilgisayar korsanları tarafından kullanılan yeni bir kod yürütme tekniği var.

Bu tür bir saldırı, PowerPoint sunusu açıldıktan sonra bilgisayarda kötü amaçlı bir PowerShell komut dosyası başlatmak için fare hareketinden yararlanır.

Daha sinsi bir saldırı oluşturmak için, kötü amaçlı kodun yürütülmesi gerekmez, böylece yükü indirebilir ve kötü amaçlı kodu yürütebilir.

Rapora göre, Grafit kötü amaçlı yazılım, yeni geliştirilen APT28 (aka Fancy Bear, TSAR Team) dağıtım tekniği kullanılarak 9 Eylül gibi yakın bir tarihte sisteme teslim edildi.

Temmuz 2018'de ABD hükümeti, bu tehdit grubunun Rusya Genelkurmay Başkanlığı Ana İstihbarat Direktörlüğü'ne bağlı olduğunu iddia eden bir rapor yayınladı.

Teknik Analiz

OECD ile ilgili olduğu iddia edilen bir .PPT dosyası, tehdit aktörü tarafından hedefleri cezbetmek için kullanılıyor. Bu, dünya çapında ekonomik büyüme ve ticaretin ilerlemesi için çalışan uluslararası bir hükümet kuruluşudur.

Sunuda, her ikisi de hem İngilizce hem de Fransızca dillerinde yönergeler içeren iki slayt bulunmaktadır. Zoom video konferans uygulamasında, onu kullanmak için kullanılabilecek Yorumlama adlı bir seçenek vardır.

SyncAppvPublishingServer yardımcı programı kullanılarak, PPT dosyasındaki köprü aracılığıyla kötü amaçlı bir PowerShell komut dosyası başlatılır. Haziran 2017'den bu yana, bu tekniğin belgeleri çevrimiçi olarak mevcuttur.

Kurban, sunu modundayken fareyi cazibe belgesindeki bir köprünün üzerine getirdiğinde, kötü amaçlı bir PowerShell komut dosyası açar.

İkincisi, tehdit aktörü bu kötü amaçlı komut dosyasının yardımıyla bir Microsoft OneDrive hesabından ("DSC0002.jpeg") bir JPEG dosyası indirdi.

Daha sonra şifresi çözülecek ve yerel makinede C:\ProgramData\lmapi2.dll yoluna yerleştirilecek bir DLL dosyasına dönüştürülür.

DLL dosyası olarak kullanılan lmapi2.dll adlı 64 bit PE dosyası vardır. Bu dosyanın bir sonucu olarak, onu kontrol etmek için kullanılacak 56rd68kow adlı yeni bir mutex'in yanında yeni bir iş parçacığı oluşturulacaktır.

Ayrıca, C2 sunucusuyla iletişim kurmak amacıyla, Graphite aşağıdaki iki unsuru kullanır:

• Microsoft Graph API'si
• OneDrive

Geçerli bir OAuth2 belirteci almak için tehdit aktörü, hizmete erişmek için kullanılabilecek sabit bir istemci kimliği kullanır. OneDrive alt dizinini denetle alt dizininde Graphite, yeni OAuth2 belirtecinin alt dosyalarını numaralandırır ve yeni komutlar için Microsoft GraphAPI'lerini sorgular.

Bu kötü amaçlı yazılım, saldırganın sistem üzerinde kontrol sahibi olmak için sistemin belleğine başka kötü amaçlı yazılımlar yüklemesini sağlamak üzere tasarlanmıştır.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.