Fancy Bear, também conhecido como APT28, é um agente de ameaças patrocinado pelo estado russo. O grupo está de volta à ação e utilizando um novo método de execução de código que explora o movimento do mouse em arquivos do MS PowerPoint para distribuir o malware Graphite.
Para sua informação, o APT28/Fancy Bear está ligado a uma unidade de inteligência militar russa chamada GRU. Este é o mesmo grupo que foi acusado de hackear investigadores de acidentes de voo do MH17 com uma campanha de spear phishing em outubro de 2016. Em 2018, o grupo foi acusado de enviar ameaças de morte a esposas do exército dos EUA se passando por ISIS.
Detalhes da campanha
De acordo com a empresa de inteligência de ameaças Cluster 25, a Fancy Bear usou movimentos do mouse em apresentações do MS PowerPoint para executar um script PowerShell malicioso. O grupo utiliza o utilitário SyncAppvPublishingServer para esse fim.
Em seu relatório técnico, a Cluster25 afirmou que o ataque começa logo após o usuário executar o modo de apresentação e usar o mouse. Um script do PowerShell é executado e um dropper do OneDrive é baixado e executado.
Os arquivos .ppt possuem dois slides com instruções em francês e inglês, enquanto a opção de interpretação está disponível no aplicativo Zoom. O arquivo de imagem é um arquivo DLL criptografado, que é descriptografado e colocado no diretório ‘C:ProgramData’, é executado posteriormente através de rundll32.exe e uma chave de registro também é criada para garantir a persistência.
O conta-gotas é um arquivo de imagem de aparência inofensiva que funciona como um caminho para uma carga útil subsequente. Esta é uma variante do malware Graphite. Ele usa a API do Microsoft Graph e o OneDrive para realizar comunicações C2 e recuperar cargas adicionais. O Fancy Bear usa um token OAuth2 válido e um ID de cliente fixo para acessar o serviço.
