APT28利用PowerPoint文件传播Graphite恶意软件

关键要点

• 俄罗斯国家支持的威胁组织APT28正通过PowerPoint文件传播Graphite恶意软件。
• 利用鼠标移动触发隐藏的恶意代码。
• 主要针对欧盟和东欧的防御与政府机构。
• 恶意代码通过PowerShell脚本下载加密的DLL文件，最终部署Graphite恶意软件。

最近，俄罗斯国家支持的威胁组织正利用一种新颖的代码执行方式，通过MicrosoftPowerPoint文件分发Graphite恶意软件。根据的报道，这一持续活动的目标主要是欧盟和东欧的防御及政府组织，并且其准备工作始于1月和2月。

攻击者向目标发送一个声称与经济合作与发展组织（OECD）相关的PowerPoint文件，文件中含有一个超链接。当用户将鼠标悬停在该链接上时，会触发一个恶意的PowerShell脚本。这个PowerShell脚本会促使下载一个JPEG文件，该文件实际上是一个加密的DLL。随后，这个DLL会检索并解密另一个JPEG文件，并将其加载到内存中，最终导致Graphite恶意软件的部署，研究者表示。“该恶意软件允许通过分配新的内存区域并调用一个新的专用线程来执行接收到的Shell代码，实现远程命令执行，”Cluster25补充道。

传播机制概述

步骤 | 描述
—|—
1. 文件发送 | 发送伪装的PowerPoint文件
2. 触发脚本 | 鼠标悬停触发恶意PowerShell脚本
3. 下载DLL文件 | 恶意脚本促使下载加密的DLL
4. 解密过程 | DLL解密并加载JPEG文件到内存
5. 部署恶意软件 | 最终运行Graphite恶意软件

这一攻击方法表明了APT28对于社会工程学和恶意软件的不断创新，以及对网络犯罪活动先进技术的运用。企业和组织应当提高警惕，加强对网络安全的防御措施，以防止此类攻击的发生。