ผู้เชี่ยวชาญด้านความปลอดภัยจาก Cluster25 รายงานถึงการโจมตีจากกลุ่ม APT28 (หรือ 'Fancy Bear') ซึ่งเป็นกลุ่มผู้ไม่ประสงค์ดีจาก Russian GRU (Main Intelligence Directorate of the Russian General Staff)
ใช้เทคนิคการรันโค้ดโดยอาศัยการเคลื่อนไหวของเมาส์บน Slide Present ใน Microsoft PowerPoint เพื่อเรียกใช้สคริปต์ PowerShell ในการส่ง Malwaer ที่มีชื่อว่า Graphite ซึ่งไฟล์ Microsoft PowerPoint ที่ใช้โจมตีประกอบไปด้วยสองสไลด์ ทั้งสองสไลด์มีคำแนะนำเป็นภาษาอังกฤษ และฝรั่งเศสสำหรับใช้งานการประชุมทางวิดีโอของ Zoom โดยมี Hyper Link ที่ทำหน้าที่เป็น Trigger สำหรับการเรียกใช้สคริปต์ PowerShell ที่เป็นอันตรายผ่านยูทิลิตี้ SyncAppvPublishingServer
.png)
ลักษณะการทำงาน
- เมื่อเป้าหมายเปิดเอกสาร Microsoft PowerPoint ในโหมด Presentation และวางเมาส์บนไฮเปอร์ลิงก์สคริปต์ PowerShell ที่เป็นอันตรายจะทำงาน โดยดาวน์โหลดไฟล์ JPEG (“DSC0002.jpeg”) จากบัญชี Microsoft OneDrive
- ในไฟล์ JPEG เป็นไฟล์ DLL (lmapi2.dll) ที่เข้ารหัส ในแต่ละไฟล์สตริงในที่ดึงมาต้องการคีย์ XOR ที่แตกต่างกันสำหรับการถอดรหัส เมื่อถอดรหัสแล้วจะถูกวางไว้ในไดเร็กทอรี 'C:\ProgramData\' ซึ่งจะถูก Execute ในภายหลังผ่าน rundll32.exe นอกจากนี้ยังมีการสร้าง Registry เพื่อให้ตัวมันสามารถแฝงตัวอยู่บนระบบได้อีกด้วย
- ต่อมา lmapi2.dll จะดึงข้อมูล และถอดรหัสไฟล์ JPEG ไฟล์ที่สอง ซึ่งแต่ละไฟล์ที่ดึงมาต้องการคีย์ XOR ที่แตกต่างกันสำหรับการถอดรหัส เมื่อถอดรหัสแล้วมันจะถูกโหลดลงใน Memory ของระบบในส่วนของ Thread (หน่วยการทำงานย่อยที่อยู่ใน Process) ใหม่ที่ถูกสร้างโดย DLL ก่อนหน้านี้ ผลลัพธ์ที่ได้คือมัลแวร์ Graphite ในรูปแบบ portable executable (PE)
- เมื่อมันแวร์ถูกติดตั้งสำเร็จ มันจะใช้ Microsoft Graph API และ OneDrive เพื่อสื่อสารกับ C2 Server นอกจากนี้ผู้โจมตียังเข้าถึง Service โดยใช้ Fix Client ID เพื่อรับโทเค็น OAuth2
- ด้วยโทเค็น OAuth2 ที่ได้รับมา มัลแวร์จะทำการ Query Microsoft Graph APIs โดยวิธีการการแจกแจงไฟล์ย่อยที่อยู่ใน Subdirectory ของ OneDrive
จุดประสงค์ของมัลแวร์ Graphite คือการอนุญาตให้ผู้โจมตีโหลดมัลแวร์อื่น ๆ ลงใน Memory ของระบบ โดยใช้ประโยชน์จาก Microsoft Graph API เพื่อใช้ OneDrive เป็น C2 Server
Ref : BleepingComputer
Ref : BleepingComputer
ไม่มีความคิดเห็น:
แสดงความคิดเห็น