I ricercatori di sicurezza Cluster25 avrebbero raccolto e analizzato un documento PowerPoint, solo apparentemente proveniente dall’OCSE (Organizzazione per la Cooperazione e lo Sviluppo Economico), sfruttato per impiantare una variante del malware Graphite.
Si tratta di un malware noto per essere stato distribuito attraverso il servizio Graph di Microsoft e utilizzato a inizio 2022 come vettore per i framework post-exploitation Empire.
Gli autori di questa nuova campagna malevola sarebbero i criminal hacker del gruppo filo-russo APT28, conosciuto anche come Fancy Bear.
Indice degli argomenti
Malware Graphite: il documento esca
Come dicevamo, il documento esca è un file PowerPoint che sfrutta una tecnica di esecuzione del codice, progettata per essere attivata semplicemente tramite l’evento mouseover (passaggio del mouse senza alcun clic) e senza l’esecuzione di alcuna macro.
In particolare, si tratterebbe di un file PPT compromesso contenente due diapositive con lo stesso contenuto, la prima scritta in inglese e la seconda in francese, riportante delle istruzioni per l’utilizzo dell’opzione “Interpretation” della nota piattaforma di videoconferenza Zoom.
La catena d’infezione del malware Graphite
Secondo la ricostruzione, una volta aperta la presentazione PPT, al solo passaggio del mouse su di un collegamento ipertestuale in essa presente, l’evento mouseover avvia la catena d’infezione lanciando uno script PowerShell malevolo per scaricare ed eseguire un dropper che a sua volta scarica un payload che estrae e inietta al suo interno un nuovo file PE (Portable Executable), ovvero la variante del malware Graphite, che sfrutta gli account OneDrive come server C2 tramite l’API Microsoft Graph.
Nello specifico l’infezione avverrebbe attraverso il download (eseguito tramite lo strumento rundll32.exe) di un file JPEG (DSC0002.jpeg) da un account OneDrive, in realtà una DLL (lmapi2.dll) poi decifrata e salvata nella cartella “C:\ProgramData\” impostando una chiave di registro per ottenere persistenza (“HKCU\Software\Classes\CLSID\{2735412E-7F64-5B0F-8F00-5D77AFBE261E}\InProcServer32”).
Successivamente, il file DLL “lmapi2.dll” (un file PE a 64 bit) creerebbe un nuovo thread per scaricare un altro file, sempre con estensione JPEG (DSC0001.jpeg), decrittografandolo con una chiave pubblica hardcoded.
In un secondo momento, verrebbe così copiato in una regione di memoria allocata un nuovo file PE (il malware Graphite).
Il malware, una volta insidiatosi, comunicherebbe con un server di comando e controllo attraverso il dominio “graph[.]Microsoft[.]com” abusando del servizio che fornisce l’accesso alle risorse Microsoft Cloud.
I potenziali obiettivi
Sebbene i metadati estratti, indicherebbero che gli autori della minaccia abbiano lavorato alla preparazione della campagna tra gennaio e febbraio 2022 (ad esempio il file DLL “lmapi2.dll” presenta un compiler timestamp del 17/01/2022), alcuni riscontri telemetrici più recenti suggerirebbero una certa attività ancora in corso.
Cluster25, rimarcando l’attribuzione di questa campagna al gruppo noto come APT28 (alias Fancy Bear, TSAR Team) ritenuto affiliato con il servizio segreto russo, indica come potenziali e futuri obiettivi i settori della difesa e governativi dei Paesi europei e dell’Europa orientale in particolare.
Si suggerisce, pertanto, di mantenere un certo stato di attenzione.
Gli analisti hanno condiviso ulteriori dettagli e gli IoC sul proprio blog.
