ผู้เชี่ยวชาญจาก Cluster25 รายงานถึงการโจมตีจากกลุ่ม APT28 (หรือ 'Fancy Bear') ซึ่งเป็นกลุ่มแฮ็กเกอร์จาก Russian GRU (Main Intelligence Directorate of the Russian General Staff) ใช้เทคนิคการรันโค้ดแบบใหม่โดยอาศัยการเคลื่อนไหวของเมาส์บน Slide Present ใน Microsoft PowerPoint เพื่อเรียกใช้สคริปต์ PowerShell ในการส่งมัลแวร์ที่มีชื่อว่า Graphite ซึ่งไฟล์ Microsoft PowerPoint ที่ใช้โจมตีประกอบไปด้วยสองสไลด์ ทั้งสองสไลด์มีคำแนะนำเป็นภาษาอังกฤษ และฝรั่งเศสสำหรับใช้งานการประชุมทางวิดีโอของ Zoom โดยมีไฮเปอร์ลิงก์ที่ทำหน้าที่เป็นทริกเกอร์สำหรับการเรียกใช้สคริปต์ PowerShell ที่เป็นอันตรายผ่านยูทิลิตี้ SyncAppvPublishingServer
ลักษณะการทำงาน
- เมื่อเป้าหมายเปิดเอกสาร Microsoft PowerPoint ในโหมด Presentation และวางเมาส์บนไฮเปอร์ลิงก์ สคริปต์ PowerShell ที่เป็นอันตรายจะทำงาน โดยดาวน์โหลดไฟล์ JPEG (“DSC0002.jpeg”) จากบัญชี Microsoft OneDrive
- ในไฟล์ JPEG เป็นไฟล์ DLL (lmapi2.dll) ที่เข้ารหัส ในแต่ละไฟล์สตริงในที่ดึงมาต้องการคีย์ XOR ที่แตกต่างกันสำหรับการถอดรหัส เมื่อถอดรหัสแล้วจะถูกวางไว้ในไดเร็กทอรี 'C:\ProgramData\' ซึ่งจะถูก Execute ในภายหลังผ่าน rundll32.exe นอกจากนี้ยังมีการสร้าง Registry เพื่อให้ตัวมันสามารถแฝงตัวอยู่บนระบบได้อีกด้วย
- ต่อมา lmapi2.dll จะดึงข้อมูล และถอดรหัสไฟล์ JPEG ไฟล์ที่สอง ซึ่งแต่ละไฟล์ที่ดึงมาต้องการคีย์ XOR ที่แตกต่างกันสำหรับการถอดรหัส เมื่อถอดรหัสแล้วมันจะถูกโหลดลงใน Memory ของระบบในส่วนของ Thread (หน่วยการทำงานย่อยที่อยู่ใน Process) ใหม่ที่ถูกสร้างโดย DLL ก่อนหน้านี้ ผลลัพธ์ที่ได้คือมัลแวร์ Graphite ในรูปแบบ portable executable (PE)
- เมื่อมันแวร์ถูกติดตั้งสำเร็จ มันจะใช้ Microsoft Graph API และ OneDrive เพื่อสื่อสารกับ C2 Server นอกจากนี้ผู้โจมตียังเข้าถึง Service โดยใช้ Fix Client ID เพื่อรับโทเค็น OAuth2
- ด้วยโทเค็น OAuth2 ที่ได้รับมา มัลแวร์จะทำการ Query Microsoft Graph APIs โดยวิธีการการแจกแจงไฟล์ย่อยที่อยู่ใน Subdirectory ของ OneDrive
จุดประสงค์ของมัลแวร์ Graphite คือการอนุญาตให้ผู้โจมตีโหลดมัลแวร์อื่น ๆ ลงใน Memory ของระบบ โดยใช้ประโยชน์จาก Microsoft Graph API เพื่อใช้ OneDrive เป็น C2 Server
ที่มา : bleepingcomputer
You must be logged in to post a comment.