Az APT 28 vagy Fancy Bear néven is ismert hackercsoport egy látszólag PowerPoint prezentációval, valamint egy új kódvégrehajtási módszer segítségével telepít rosszindulatú programokat.
A Custer25 kiberbiztonsági cég jelentése szerint a módszer lényege, hogy amikor a felhasználó diavetítés módban megnyitja a prezentációt és megmozgatja a kurzort, akkor aktiválódik a kódvégrehajtás, amely során futtatásra kerül egy PowerShell szkript, ami a OneDrive-ról letölti és futtatja a dropper alkalmazást. A dropper látszólag ártalmatlan képfájlnak tűnik, valójában azonban a Graphite néven ismert rosszindulatú program egy változata, ami a Microsoft Graph API-t és a OneDrive-ot használja a vezérlőszerverrel történő kommunikációhoz.
A támadás során alkalmazott PowerPoint prezentáció látszólag a párizsi székhelyű nemzetközi gazdasági szervezet, a Gazdasági Együttműködési és Fejlesztési Szervezet (OECD) által használt sablonnal készült. A kiberművelettel feltehetően főleg az európai védelmi és kormányzati szektor munkatársait, valamint – geopolitikai szempontból érintett – magánszemélyeket vették célba.
(nki.gov.hu/ a thehackernews.com alapján)
a kiemelt kép illusztráció/Envato Elements