ผู้เชี่ยวชาญจาก Cluster25 รายงานถึงการโจมตีจากกลุ่ม APT28 (หรือ 'Fancy Bear') ซึ่งเป็นกลุ่มแฮ็กเกอร์จาก Russian GRU (Main Intelligence Directorate of the Russian General Staff) ใช้เทคนิคการรันโค้ดแบบใหม่โดยอาศัยการเคลื่อนไหวของเมาส์บน Slide Present ใน Microsoft PowerPoint เพื่อเรียกใช้สคริปต์ PowerShell ในการส่งมัลแวร์ที่มีชื่อว่า Graphite ซึ่งไฟล์ Microsoft PowerPoint ที่ใช้โจมตีประกอบไปด้วยสองสไลด์ ทั้งสองสไลด์มีคำแนะนำเป็นภาษาอังกฤษ และฝรั่งเศสสำหรับใช้งานการประชุมทางวิดีโอของ Zoom โดยมีไฮเปอร์ลิงก์ที่ทำหน้าที่เป็นทริกเกอร์สำหรับการเรียกใช้สคริปต์ PowerShell ที่เป็นอันตรายผ่านยูทิลิตี้ SyncAppvPublishingServer

ลักษณะการทำงาน

เมื่อเป้าหมายเปิดเอกสาร Microsoft PowerPoint ในโหมด Presentation และวางเมาส์บนไฮเปอร์ลิงก์ สคริปต์ PowerShell ที่เป็นอันตรายจะทำงาน โดยดาวน์โหลดไฟล์ JPEG (“DSC0002.jpeg”) จากบัญชี Microsoft OneDrive

ในไฟล์ JPEG เป็นไฟล์ DLL (lmapi2.dll) ที่เข้ารหัส ในแต่ละไฟล์สตริงในที่ดึงมาต้องการคีย์ XOR ที่แตกต่างกันสำหรับการถอดรหัส เมื่อถอดรหัสแล้วจะถูกวางไว้ในไดเร็กทอรี 'C:\ProgramData\' ซึ่งจะถูก Execute ในภายหลังผ่าน rundll32.exe นอกจากนี้ยังมีการสร้าง Registry เพื่อให้ตัวมันสามารถแฝงตัวอยู่บนระบบได้อีกด้วย
ต่อมา lmapi2.dll จะดึงข้อมูล และถอดรหัสไฟล์ JPEG ไฟล์ที่สอง ซึ่งแต่ละไฟล์ที่ดึงมาต้องการคีย์ XOR ที่แตกต่างกันสำหรับการถอดรหัส เมื่อถอดรหัสแล้วมันจะถูกโหลดลงใน Memory ของระบบในส่วนของ Thread (หน่วยการทำงานย่อยที่อยู่ใน Process) ใหม่ที่ถูกสร้างโดย DLL ก่อนหน้านี้ ผลลัพธ์ที่ได้คือมัลแวร์ Graphite ในรูปแบบ portable executable (PE)
เมื่อมันแวร์ถูกติดตั้งสำเร็จ มันจะใช้ Microsoft Graph API และ OneDrive เพื่อสื่อสารกับ C2 Server นอกจากนี้ผู้โจมตียังเข้าถึง Service โดยใช้ Fix Client ID เพื่อรับโทเค็น OAuth2
ด้วยโทเค็น OAuth2 ที่ได้รับมา มัลแวร์จะทำการ Query Microsoft Graph APIs โดยวิธีการการแจกแจงไฟล์ย่อยที่อยู่ใน Subdirectory ของ OneDrive

จุดประสงค์ของมัลแวร์ Graphite คือการอนุญาตให้ผู้โจมตีโหลดมัลแวร์อื่น ๆ ลงใน Memory ของระบบ โดยใช้ประโยชน์จาก Microsoft Graph API เพื่อใช้ OneDrive เป็น C2 Server

ที่มา : bleepingcomputer

หนึ่งในปัญหาสุดคลาสสิคของอุปกรณ์หรือโซลูชันด้านความปลอดภัยซึ่งนำมาสู่การ bypass การตรวจจับนั้นส่วนใหญ่มาจากการที่อุปกรณ์หรือโซลูชันไม่ยอมทำตาม RFC อย่างเหมาะสมจนส่งผลให้แฮกเกอร์สามารถข้ามผ่านการตรวจจับได้โดยอ้างรูปแบบตาม RFC

Bleeping Computer รายงานการค้นพบอีเมลฟิชชิงแนบไฟล์ Powerpoint อันตรายสำหรับแพร่กระจายมัลแวร์ Lokibot ซึ่งมีการใช้วิธีการสอดแทรกข้อมูลลงไปใน URL ซึ่งส่งผลให้อุปกรณ์ตรวจจับอีเมลอันตรายนั้นไม่สามารถตรวจจับได้ ทั้งนี้การสอดแทรกข้อมูลลงไปใน URL นั้นแท้จริงยังเป็นไปตาม RFC ซึ่งกำหนดรูปแบบของ URL เอาไว้ ทำให้เหยื่อยังสามารถคลิกลิงค์อันตรายได้ตามปกติ

หนึ่งในเทคนิคซึ่งแฮกเกอร์มักใช้งานนั้นคือการแทรกส่วนของ "userinfo" เข้าไปใน URL เช่น "https://malicious.

อาชญากรใช้ประโยชน์จากช่องโหว่ของ PowerPoint เพื่อแพร่กระจาย Malware

การโจมตีนี้พบในองค์กรที่อยู่ในกลุ่มอุตสาหกรรมการผลิตอุปกรณ์อิเล็กทรอนิกส์ โดยช่องโหว่นี้ช่วยให้สามารถหลีกเลี่ยงการตรวจจับจากโปรแกรม Antivirus ได้ การโจมตีเริ่มต้นด้วย Spear-Phishing Email ที่มีข้อความจากบริษัทผลิตสายเคเบิล ที่มีการแนบไฟล์ PowerPoint เมื่อมีการเปิดไฟล์จะทำให้เกิดการโจมตีผ่านช่องโหว่ของ Microsoft (CVE-2017-0199) ซึ่งทำงานโดยการรันคำสั่งบางอย่างให้มีการดาวน์โหลดไฟล์มาลงที่เครื่อง จากนั้นจะมีการสั่งให้รันไฟล์ที่ชื่อว่า 'RATMAN.EXE' ผ่าน PowerShell ทำให้ผู้โจมตีสามารถใช้ความสามารถ keylog, screenlog, เข้าถึงไมโครโฟนและกล้องบนเครื่องที่ถูกโจมตีสำเร็จ รวมทั้งสามารถดาวน์โหลด และสั่งให้ Malware อื่นๆทำงานได้เช่นเดียวกัน

ตอนนี้ Microsoft ได้เผยแพร่ Patches เพื่อแก้ไขช่องโหว่เป็นที่เรียบร้อยแล้วตั้งแต่เดือนเมษายนที่ผ่านมา จึงขอแนะนำให้ผู้ใช้ทุกคนทำการอัพเดทระบบ และเครื่องของตนเอง รวมถึงตรวจดู Email ที่ได้รับมาอย่างถี่ถ้วนก่อนทำการเปิดไฟล์ที่แนบมา จะเป็นการป้องกันการถูกโจมตีผ่านช่องโหว่นี้ได้ดีที่สุด

ที่มา: itproportal

Security Researcher พบไฟล์ Powerpoint ซึ่งพยายามให้ user รัน powershell หลังจากที่เมาส์วางไว้เหนือ link ใน slide ของ Powershell โดยไม่จำเป็นต้องเปิดการใช้งาน Macro แต่อย่างใด

โดยปกติ file malware ที่เป็น document ใดๆ จะมีการพยายามรันผ่าน Macro, Javascript, VBA แต่ตัวที่ Security Researcher คนนี้พบ กลับไม่ต้องพึ่งสิ่งเหล่านั้นแต่อย่างใด ขอเพียงแค่นำเมาส์ไปวางไว้เหนือ Link URL ก็จะพยายามให้ user รัน powershell ที่ถูกซ่อนไว้ทันที โดย Powerpoint ไฟล์ดังกล่าว จะมี slide แค่ slide เดียว โดย slide ดังกล่าวจะมี Link URL พร้อมกับข้อความเขียนไว้ว่า "Loading…Please wait" ซึ่งวิธีการที่ทำให้ส่วน Link URL ดังกล่าวกระทำการเปิด powershell เมื่อมีเมาส์ไปอยู่เหนือคำ "Loading.