Chỉ cần di chuột qua PowerPoint cũng có thể lây nhiễm phần mềm độc hại?
Tác nhân đe dọa do nhà nước Nga bảo trợ được gọi là APT28 đã được phát hiện sử dụng một phương pháp thực thi mã mới sử dụng chuyển động của chuột trong các tài liệu Microsoft PowerPoint giả để triển khai phần mềm độc hại.
Công ty an ninh mạng Cluster25 cho biết kỹ thuật này "được thiết kế để được kích hoạt khi người dùng khởi động chế độ trình chiếu và di chuyển chuột". "Việc thực thi mã chạy một tập lệnh PowerShell tải xuống và thực thi một tệp từ OneDrive."
Tệp này là một tệp hình ảnh dường như vô hại, có chức năng như một đường dẫn cho một tải trọng tiếp theo, một biến thể của phần mềm độc hại được gọi là Graphite, sử dụng Microsoft Graph API và OneDrive cho giao tiếp lệnh và kiểm soát (C2) để lấy thêm tải trọng.
Cuộc tấn công sử dụng một tài liệu thu hút sử dụng một mẫu có khả năng được liên kết với Tổ chức Hợp tác và Phát triển Kinh tế (OECD), một tổ chức liên chính phủ có trụ sở tại Paris.
Cluster25 lưu ý rằng các cuộc tấn công có thể đang diễn ra, vì các URL được sử dụng trong các cuộc tấn công đã hoạt động vào tháng 8 và tháng 9, mặc dù trước đó các tin tặc đã đặt nền móng cho chiến dịch từ tháng 1 đến tháng 2.
Các mục tiêu tiềm năng của hoạt động có thể bao gồm các thực thể và cá nhân hoạt động trong lĩnh vực quốc phòng và chính phủ của châu Âu và Đông Âu, công ty cho biết thêm, trích dẫn một phân tích về các mục tiêu địa chính trị và các hiện vật thu thập được.
Đây không phải là lần đầu tiên tập thể đối thủ triển khai Graphite. Vào tháng 1 năm 2022, Trellix đã tiết lộ một chuỗi tấn công tương tự khai thác lỗ hổng thực thi mã từ xa MSHTML (CVE-2021-40444) để đánh sập cửa hậu.
Sự phát triển này là một dấu hiệu cho thấy APT28 (hay còn gọi là Fancy Bear) tiếp tục trau dồi nghề kỹ thuật của mình và phát triển các phương pháp của nó để có tác động tối đa khi các tuyến khai thác từng được coi là khả thi (ví dụ: macro) không còn mang lại lợi ích.
Hương – Theo TheHackerNews
TIN CÙNG CHUYÊN MỤC
Đọc nhanh tài liệu Word với tính năng AI...
Google tung bản vá bảo mật khẩn cấp cho ...
Phần mềm độc hại Android mới NGate đánh ...
Thời đại AI lên ngôi, ảnh chụp không hẳn...
Trung tâm siêu dữ liệu đang được Google ...
Google cảnh báo về lỗ hổng bảo mật CVE-2...
- Thông báo nghỉ lễ Quốc Khánh 2024
- NTS trao 150 quà tặng cho các em học sinh vượt khó...
- Khi chuỗi cung ứng bị tấn công: Tác động và bài họ...
- Tuần lễ An ninh mạng Châu Á - Thái Bình Dương 2024...
- Kaspersky nêu bật những thách thức của AI trong th...
- Bối cảnh mối đe dọa an ninh mạng: Những mối đe dọa...
- Thông báo nghỉ lễ Quốc Khánh 2024
- Đọc nhanh tài liệu Word với tính năng AI tóm tắt t...
- Google tung bản vá bảo mật khẩn cấp cho 4 lỗi bảo ...
- Phần mềm độc hại Android mới NGate đánh cắp dữ liệ...
- Thời đại AI lên ngôi, ảnh chụp không hẳn là bảo ch...
- NTS trao 150 quà tặng cho các em học sinh vượt khó...