Hackers met Russische banden gebruiken Microsoft PowerPoint-presentaties (PTT’s) om malware te verspreiden. Wanneer een slachtoffer met de muis over een hyperlink beweegt activeert het bestand een kwaadaardig PowerShell-script.

Naast het bewegen van de muis is er geen handeling nodig om de payload uit te voeren. Volgens securitybedrijf Cluster25 hebben hackers van Fancy Bear de nieuwe techniek op 9 september toegepast om Graphite malware te verspreiden.

Fancy Bear staat in de industrie bekend als APT28. Securityleverancier CrowdStrike vermoedt dat de hackgroep samenwerkt met Russische inlichtingendiensten.

De aanvallers lokken slachtoffers met behulp van een .PPT (PowerPoint)-bestand dat afkomstig lijkt te zijn van de Organisation for Economic Co-operation and Development (OESO), een internationale organisatie die economische ontwikkeling wereldwijd stimuleert.

Het PPT-bestand bestaat uit twee dia’s met instructies voor het gebruik van de ‘Interpretatie’-functie in Zoom. Een meegeleverde hyperlink activeert een kwaadaardig PowerShell-script met hulpprogramma SyncAppvPublishingServer. De ‘mouseover’-hacktechniek werd voor het eerst gedocumenteerd in juni 2017.

Graphite

Aanvallers gebruiken de techniek om Graphite malware te verspreiden. Securitybedrijf Trellix publiceerde in januari een rapport over de variant. De naam is afgeleid van het feit dat de malware de Microsoft Graph API gebruikt om OneDrive in te zetten als een command and control (C2) server.

Op basis van het onderzoek meldt Cluster25 dat de hackers de campagnes in januari en februari voorbereidden. De kwaadaardige hyperlinks verschenen in augustus. De aanvallers focussen onder andere op defensiebedrijven en overheidsinstanties in de Europese Unie.

Malwareketen

De malware wordt geactiveerd wanneer een slachtoffer het geïnfecteerde document in de presentatiemodus opent en met de muis over de hyperlink beweegt. De payload downloadt een JPEG-bestand van een Microsoft OneDrive-account met de naam ‘DSCooo2.jpeg’. Dit is een versleuteld lmapi2.dll-bestand dat wordt gedecodeerd in de C-schijf. Het bestand wordt later uitgevoerd met rundll32.exe.

De volgende stap is een DLL-bestand dat een tweede JPEG-bestand ophaalt en decodeert. Tegelijkertijd wordt het bestand in het memory van het systeem opgeslagen. Uiteindelijk ontvangt het slachtoffer een payload met Graphite malware in een uitvoerbaar formaat.

Graphite malware krijgt toegang tot een command and control server via een client-ID die een geverifieerd OAuth2-token verkrijgt. De malware stelt hackers in staat om aanvullende malware in het memory van het systeem van een slachtoffer te laden.

Tip: Databescherming wordt steeds meer workload-specifiek (en software-defined)