تم العثور على ممثل التهديد الروسي الذي ترعاه الدولة والمعروف باسم APT28 وهو يستفيد من طريقة تنفيذ التعليمات البرمجية الجديدة التي تستخدم حركة الماوس في مستندات Microsoft PowerPoint الخادعة لنشر البرامج الضارة PowerPoint Mouseover .
وقالت شركة الأمن السيبراني Cluster25 في تقرير تقني إن هذه التقنية “مصممة ليتم تشغيلها عندما يبدأ المستخدم وضع العرض ويحرك الماوس”. “يقوم تنفيذ التعليمات البرمجية بتشغيل برنامج نصي PowerShell يقوم بتنزيل برنامج قطارة من OneDrive وتنفيذه.”
يعمل القطارة. وهو ملف صورة غير ضار على ما يبدو. كمسار لحمولة متابعة. وهو نوع من البرامج الضارة المعروفة باسم Graphite. والتي تستخدم Microsoft Graph API و OneDrive لاتصالات الأوامر والتحكم (C2) لاسترداد المزيد الحمولات.
يستخدم الهجوم مستند إغراء يستخدم نموذجًا يحتمل أن يكون مرتبطًا بمنظمة التعاون الاقتصادي والتنمية (OECD). وهي كيان حكومي دولي مقره باريس.
أشارت Cluster25 إلى أن الهجمات قد تكون مستمرة. مع الأخذ في الاعتبار أن عناوين URL المستخدمة في الهجمات بدت نشطة في أغسطس وسبتمبر. على الرغم من أن المتسللين كانوا قد وضعوا الأساس للحملة بين يناير وفبراير.
وأضافت الشركة أن الأهداف المحتملة للعملية تشمل على الأرجح الكيانات والأفراد العاملين في قطاعي الدفاع والحكومة في أوروبا وأوروبا الشرقية. مستشهدة بتحليل الأهداف الجيوسياسية والتحف التي تم جمعها.
أخطاء واتساب الحرجة يمكن أن تسماح للمهاجمين باختراق الأجهزة عن بُعد.
ليست هذه هي المرة الأولى التي تنشر فيها الجماعة المناوئة الجرافيت. في كانون الثاني (يناير) 2022. كشف Trellix عن سلسلة هجوم مماثلة استغلت ثغرة MSHTML البرمجية عن بُعد (CVE-2021-40444) لإسقاط الباب الخلفي PowerPoint Mouseover .
من ناحية أخرى. يعد هذا التطور علامة على أن APT28 (المعروفة أيضًا باسم Fancy Bear) تواصل صقل مهنتها الفنية وتطوير أساليبها لتحقيق أقصى تأثير حيث لم تعد طرق الاستغلال التي كانت تعتبر قابلة للتطبيق (على سبيل المثال ، وحدات الماكرو) مربحة.