PowerPoint malware via muisbeweging – besmet zonder macro’s

IT-beveiligingsonderzoekers hebben een PowerPoint-presentatie ontdekt die kwaadaardige code laadt en uitvoert na een muisbeweging, wanneer hij wordt weergegeven. De PowerPoint malware komt oorspronkelijk uit Rusland.

IT beveiligingsonderzoekers van Cluster25 hebben een kwaadaardige PowerPoint-presentatie ontdekt die bij de minste muisbeweging kwaadaardige code aan nietsvermoedende slachtoffers opdringt en uitvoert.

De forensische experts gaan ervan uit dat de Russische staatscybergang APT28, ook bekend als Fancy Bear, erachter zit. Het bijzondere aan deze infectiemethode is dat er geen schadelijke macro’s voor nodig zijn en dat er toch code van het internet kan worden geladen en uitgevoerd.

Het PowerPoint-document voert code uit wanneer ontvangers de presentatie starten en de muis bewegen. Hierdoor wordt een PowerShell-script uitgevoerd dat een dropper downloadt en uitvoert vanaf een Microsoft OneDrive.

De dropper laadt op zijn beurt kwaadaardige code, die hij uitpakt in een Portable Executable (PE) bestand. De analyses wezen uit dat het een variant is van de Graphite-malwarefamilie. Deze gebruikt de Microsoft Graph API en OneDrive om te communiceren met command-and-control servers.

De metadata uit de PowerPoint suggereren dat de aanvallers een sjabloon hebben gebruikt dat mogelijk aan de OESO toebehoort, aldus de onderzoekers van Cluster25 in hun rapport. De OESO werkt samen met regeringen, beleidsmakers en burgers om op feiten gebaseerde internationale normen en oplossingen te ontwikkelen voor sociale, economische en ecologische uitdagingen.

De presentatie bevat twee dia’s met dezelfde inhoud, één in het Engels en één in het Frans. Het is een handleiding voor het gebruik van de vertaalfunctie van Zoom. Dit geeft aanwijzingen over de vermoedelijke doelgroep van deze aanval met PowerPoint malware.

Als de muis over een hyperlink wordt bewogen nadat de presentatie is gestart, wordt een PowerShell-script gestart. Het wordt gestart door de SyncAppvPublishingServer tool en downloadt het bestand DSC0002.jpeg van een OneDrive drive.

Dit wordt later gedecodeerd en opgeslagen in de bibliotheek C:ProgramDatalmapi2.dll. De malware blijft bestaan door zich in het register te verankeren in de sleutel HKCUSoftwareClassesCLSID{2735412E-7F64-5B0F-8F00-5D77AFBE261E}{InProcServer32}, waar de DLL wordt uitgevoerd met rundll32.exe.

De communicatie met de command-and-control servers loopt via het domein graph.microsoft.com en maakt misbruik van de Microsoft Graph cloud service. De malware wordt gebruikt om nog meer malware te installeren.

Bovendien beveiligen de meesterbreinen hun toegang door een OAuth-token op te halen met een vaste client-ID. Microsoft heeft deze procedure onlangs ook waargenomen bij inbraken in online Exchange-servers.

Na het nesten vraagt de Graphite-malware de Microsoft Graph API om nieuwe opdrachten en scant de bestanden in een OneDrive-submap. Als het een nieuw bestand tegenkomt, downloadt het dat en decodeert het met een AES-256 CBC-algoritme.

Ten slotte laat de malware code uitvoeren vanaf het netwerk door de ontvangen shellcode in een eigen thread te starten.

Volgens de metadata werd de malware ontwikkeld in januari en februari van dit jaar, maar verscheen pas op 25 augustus en 09 september, aldus Cluster25. Daarom gaan de analisten ervan uit dat er momenteel nog steeds activiteiten mee plaatsvinden.

Op basis van verschillende stukken indirect bewijs, geopolitieke doelen en geanalyseerde bestanden, classificeert Cluster25 de campagne als APT28, dat gecontroleerd wordt door de Russische militaire inlichtingendienst GRU.

De aanwijzingen lijken te wijzen op defensie- en overheidsorganisaties en personen in Europa en Oost-Europese landen als doelwit.

Dit past in het huidige beeld: Russische meesterbreinen sturen blijkbaar verschillende cybergangs aan. Rusland voert ook zijn cyberaanvallen op in de oorlog tegen Oekraïne.

(Dirk Knop en Marco den Teuling, c’t magazine)