Les acteurs de la menace ont commencé à utiliser des présentations PowerPoint comme méthode d’exécution de code et à fournir Logiciel malveillant graphite dans les attaques ciblées.
APT28 (Ours fantaisie), un groupe d’acteurs menaçants lié à la Russie, a récemment été vu en train d’utiliser la méthode pour distribuer le malware Graphite. Le dossier serait lié à une organisation de progrès économique, l’OCDE ; il contient des instructions en anglais et en français pour l’utilisation du L’application Zoom fonction « interprétation ».
Selon les recherches, les métadonnées indiquent que les pirates ont commencé à préparer la campagne plus tôt cette année ; elles sont ciblant les organisations des secteurs de la défense et du gouvernement des nations de l’Union européenne et L’Europe de l’Est.
Analyse d’attaque
La méthode repose sur le fait que la victime passe sa souris sur un lien hypertexte en mode présentation pour exécuter un programme malveillant. PowerShell script plutôt que d’utiliser des macros. Le lien hypertexte utilise le SyncAppvPublishingServer utilitaire pour déclencher le PowerShell, ce qui entraîne le téléchargement d’un fichier JPEG (DSC0002.jpeg) à partir d’un compte Microsoft OneDrive.
Le fichier JPEG est déchiffré et le fichier DLL résultant lmapi2[.]dll est déposé dans le “C:ProgramData” répertoire avant d’être exécuté par rundll32[.]EXE. Une clé de registre est créée pour assurer la persistance de la DLL.
Sur un nouveau thread que la DLL avait précédemment lancé, lmapi2.dll récupère, décrypte et charge un deuxième fichier JPEG (DSC0001.jpeg) en mémoire. Le logiciel malveillant appelle alors dynamiquement le NtAllocateVirtualMemory API, écrit le contenu déchiffré, puis l’exécute.
Les chercheurs expliquent qu’un Clé XOR doit être utilisé pour désobscurcir chaque chaîne dans le fichier récemment téléchargé. Logiciel malveillant exécutable portable Graphite est la charge utile finale.
L’objectif du logiciel malveillant Graphite est de permettre à l’attaquant d’insérer d’autres logiciels malveillants dans la mémoire système.
Pour communiquer avec le Serveur C2, Graphite tire parti de l’API Microsoft Graph et de OneDrive. L’auteur de la menace accède au service avec un ID client fixe et un Jeton OAuth2. Les chercheurs expliquent qu’en utilisant le nouveau jeton OAuth2, Graphite recherche le Microsoft GraphAPIs pour les nouvelles commandes en listant les fichiers enfants dans le contrôle OneDrive sous-répertoire.
Selon Grappe25si un nouveau fichier est identifié, le contenu est téléchargé et décrypté par un Algorithme de décryptage AES-256-CBC. Le logiciel malveillant permet également co à distancede exécution en créant une nouvelle région mémoire et en exécutant le shellcode entrant en invoquant un nouveau thread dédié.
La “parlement_rew.xlsx” et “Budget des missions.xlsx« Des fichiers Excel ont été utilisés dans la campagne sur laquelle Trellix s’est penché, et ils semblaient s’adresser aux fonctionnaires et aux personnes travaillant dans le secteur de la défense.
TTP
TACTIQUE | TECHNIQUE | LA DESCRIPTION |
Accès initial | T1566.001 | Hameçonnage : pièce jointe de harponnage |
Exécution | T1059.001 | Interpréteur de commandes et de scripts : PowerShell |
Exécution | T1106 | API native |
Exécution | T1204.002 | Exécution de l’utilisateur : fichier malveillant |
Persistance | T1546.015 | Exécution déclenchée par un événement : détournement de modèle d’objet de composant |
Escalade des privilèges | T1546.015 | Exécution déclenchée par un événement : détournement de modèle d’objet de composant |
Évasion de la défense | T1140 | Désobscurcir/décoder des fichiers ou des informations |
Évasion de la défense | T1202 | Exécution de commande indirecte |
Évasion de la défense | T1036.005 | Masquage : faire correspondre le nom ou l’emplacement légitime |
Évasion de la défense | T1112 | Modifier le registre |
Évasion de la défense | T1027 | Fichiers ou informations obscurcis |
Évasion de la défense | T1055.001 | Injection de processus : injection de bibliothèque de liens dynamiques |
Découverte | T1082 | Découverte des informations système |
Commandement et contrôle | T1071.001 | Protocole de couche application : protocoles Web |
IoC de logiciels malveillants en graphite
MD5 :
- c0060c0741833af67121390922c44f91
- ef1288de782e65d6e5bd6a327157988f
- 2ff3e6c9244ef965295aa60879d1aa6b
- 9a915313d02345e149e6ba566fe85c47
SHA1 :
- 9cd7f14d85814c48be3fbf73891415978a7aa882
- 622eb93e34445c752eeaa623ef9ac6978e58f2fc
- a23efb6aa5a242c61c5d50a967a8f29da164c954
- 4c813ad68f2f1da6b2c59d11ad983cfa65e1a187
- 4c813ad68f2f1da6b2c59d11ad983cfa65e1a187
SHA256 :
- 34aca02d3a4665f63fddb354551b5eff5a7e8877032ddda6db4f5c42452885ad
- efa5b49bdd086125b2b7d4058d09566f1db5f183c2a6332c597322f85107667a
- d1bceccf5d2b900a6b601c612346fdb3fa5bb0e2faeefcac3f9c29dc1d74838d
- Be180a7c43734b7125b2d5cea7edd0174811a58113b048f5fe687db52db47fe3
Domaine:
- 9b5uja[.]un m[.]des dossiers[.]1drv.com
- kdmzlw[.]un m[.]des dossiers[.]1drv[.]com
URL :
- hxxps://9b5uja[.]un m[.]des dossiers[.]1drv[.]com/y4mpYJ245I931DUGr7BV-dwLD7SReTqFr1N7eQOKSH_ug2G18Jd6i3SRqYqgugj3FA2JQQ7JqclvWH13Br3B5Ux-F6QcqADr-FowC_9PZi1Aj7uckcK8Uix_7ja1tF6C_8-5xYgm6zwjbXsrlEcTEenAyA8BzEaGPudutl1wMDkzVr6Wmn8_qRmYejLgbNoQmPTUe3P5NKFFLRjeeU_JhvA/DSC0002[.]jpeg?télécharger
- hxxps://kdmzlw[.]un m[.]des dossiers[.]1drv[.]com/y4mv4glUgvW9nl8z8GU71PhPw0oRtve9QpZ0pEgwJN1q_TlGY5yl5Mvkrc5rUh0Uxxknlr1qymWyCbPrkKOFgL4CARScSn9UMhq3c5hSNOQsDOamYLmOfN61lUtQO10vxtn0I7QROJdOtQ42wDsaiACGR5ZrmYwt0SmZkphGWQpT2gOFrsUxjg8_7QT01VTABiGr3T6xpWrTmFT5yu4toQ/DSC0001[.]jpeg?télécharger
Vous pouvez trouver les règles Snort et Yara ici.
