跳转到帖子
  • 游客您好,欢迎来到黑客世界论坛!您可以在这里进行注册。

    赤队小组-代号1949(原CHT攻防小组)在这个瞬息万变的网络时代,我们保持初心,创造最好的社区来共同交流网络技术。您可以在论坛获取黑客攻防技巧与知识,您也可以加入我们的Telegram交流群 共同实时探讨交流。论坛禁止各种广告,请注册用户查看我们的使用与隐私策略,谢谢您的配合。小组成员可以获取论坛隐藏内容!

    TheHackerWorld官方

鼠标悬停也能中招!带毒 PPT 正用来传播 Graphite 恶意软件


Ken1Ve

推荐的帖子

据Bleeping Computer网站消息,俄罗斯黑客已经开始使用一种新的代码执行技术,该技术依赖于 Microsoft PowerPoint 演示文稿(PPT)中的鼠标移动来触发恶意 PowerShell 脚本传播 Graphite 恶意软件。恶意代码不需要恶意宏来执行和下载有效负载,从而进行更隐蔽的攻击。

攻击者使用PPT 文件引诱目标,内容据称与经济合作与发展组织 (OECD) 相关,该组织是一个致力于刺激全球经济进步和贸易的政府间组织。PPT 文件内有均以英文和法文提供使用 Zoom 视频会议应用的说明指导。PPT 文件包含一个超链接,作为使用SyncAppvPublishingServer工具启动恶意PowerShell脚本的触发器。

1664246833_6332643131b2513db6f74

含恶意脚本的PPT文件

感染链

来自威胁情报公司 Cluster25的研究人员以演示模式打开“诱饵文档”并且将鼠标悬停在超链接上时,会激活恶意 PowerShell 脚本并从 Microsoft OneDrive 帐户下载 JPEG 文件(“DSC0002.jpeg”)。该JPEG 是一个加密的 DLL 文件 ( lmapi2.dll ),它被解密并放在“C:\ProgramData\”目录中,随后通过rundll32.exe执行。该DLL 创建了一个用于持久性的注册表项。

1664247039_633264ffa113ab63952de

触发执行恶意代码

接下来,lmapi2.dll在之前由 DLL 创建的新线程上获取并解密第二个 JPEG 文件并将其加载到内存中。

Cluster25 详细说明了新获取的文件中的每个字符串都需要不同的 XOR 键来进行反混淆。生成的有效负载是可移植可执行 (PE) 形式的 Graphite 恶意软件。Graphite 滥用 Microsoft Graph API 和 OneDrive ,与命令和控制 (C2) 服务器通信。攻击者通过使用固定客户端 ID 访问服务以获取有效的 OAuth2 令牌。

1664247110_63326546e7d6a3c7b05a5

Graphite 使用的固定客户端 ID

研究人员解释说,使用新的 OAuth2 令牌,Graphite 通过枚举 check OneDrive 子目录中的子文件来查询 Microsoft GraphAPI 的新命令。

“如果找到新文件,则下载内容并通过 AES-256-CBC 解密算法解密,恶意软件通过分配新的内存区域并执行接收到的 shellcode 来允许远程命令执行调用一个新的专用线程。”研究人员说道。

总结下来,Graphite 恶意软件的目的是让攻击者将其他恶意软件加载到系统内存中。研究人员表示,攻击者的目标是欧盟和东欧国家国防和政府部门实体,并认为间谍活动已在进行中。


转自 FreeBuf,原文链接:https://www.freebuf.com/news/345682.html

封面来源于网络,如有侵权请联系删除

链接帖子
意见的链接
分享到其他网站

黑客攻防讨论组

黑客攻防讨论组

    You don't have permission to chat.
    • 最近浏览   0位会员

      • 没有会员查看此页面。
    ×
    ×
    • 创建新的...