APT28 использует движение мыши в файлах PowerPoint для запуска вредоноса
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

APT28 использует движение мыши в файлах PowerPoint для запуска вредоноса

Екатерина Быстрова 27 Сентября 2022 - 14:24
...
APT28 использует движение мыши в файлах PowerPoint для запуска вредоноса

Киберпреступники, работающие, по словам зарубежных специалистов, на Россию, начали прибегать к новой технике для запуска кода на компьютере жертвы. Этот подход рассчитан на использование движений мыши в презентациях Microsoft PowerPoint.

Таким образом, атакующим не требуются вредоносные макросы для запуска скрипта PowerShell. Согласно отчёту Cluster25, новый метод взяла на вооружение киберпреступная группировка APT28, также известная под именем “Fancy Bear“.

Исследователи отмечают, что в этих кампаниях злоумышленники устанавливают в системы жертв вредоносную программу Graphite. Одну из таких атак зафиксировали 9 сентября 2022 года.

В качестве приманки используется файл в формате .PPT (презентация PowerPoint), который якобы связан с Организацией экономического сотрудничества и развития (ОЭСР) — международным экономическим органом развитых стран.

Внутри PPT-файла располагаются два слайда, на которых изображены инструкции на английском и французском языках. В этих инструкциях объясняется, как пользоваться функцией перевода в сервисе для видеоконференций Zoom.

 

Кроме того, в отправляемых PPT-файлах была гиперссылка, которая как раз и выступала триггером для запуска вредоносного скрипта PowerShell с помощью утилиты SyncAppvPublishingServer.

В отчёте Cluster25 эксперты говорят, что злоумышленники подготавливали эти кампании с января по февраль. Если посмотреть на график, соответствующие URL также всплывали в августе и сентябре.

 

При открытии документа-приманки в режиме презентации жертве достаточно навести указатель мыши на гиперссылку, чтобы активировать вредоносный скрипт и загрузить на компьютер файл в формате JPEG — “DSC0002.jpeg“. Изображение, кстати, скачивается из аккаунта Microsoft OneDrive и сохраняется в директории C:\ProgramData\, после чего запускается с помощью rundll32.exe.

Далее в дело вступает следующий пейлоад — lmapi2.dll, который сбрасывает и расшифровывает второй JPEG-файл, загружая его сразу в память. Главный вредонос Graphite использует API Microsoft Graph API и OneDrive для взаимодействия с командным сервером.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Runtime Radar: на GitHub появился код инструмента для защиты контейнеров
Екатерина Быстрова 30 Октября 2025 - 11:56
Малый и средний бизнесКорпорации Сетевая безопасностьЗащита контейнерных сред (Container Security) Positive Technologies
Runtime Radar: на GitHub появился код инструмента для защиты контейнеров

Компания Positive Technologies опубликовала на GitHub собственный продукт с открытым исходным кодом для мониторинга безопасности и реагирования на инциденты в контейнерных средах. Инструмент под названием Runtime Radar помогает отслеживать активность в контейнерах и выявлять подозрительные процессы, сетевые соединения и изменения прав доступа.

Как отмечают в компании, идея проекта — сделать базовый контроль над контейнерной инфраструктурой доступным даже для небольших команд, которым не подходят сложные или дорогие коммерческие системы.

Контейнерные технологии вроде Kubernetes сегодня стали стандартом для развёртывания приложений. Но вместе с ростом их популярности увеличилось и число атак, направленных на среду выполнения — например, на этапе, когда приложение уже запущено.

По словам специалистов, именно этот уровень остаётся уязвимым: большинство инструментов безопасности по-прежнему сосредоточены на стадии разработки и сборки.

Runtime Radar построен на технологиях eBPF и Tetragon, что позволяет в реальном времени анализировать события внутри контейнеров. Система поддерживает централизованное управление несколькими кластерами и интеграцию с уже существующими средствами мониторинга через syslog, SMTP и webhook.

В Positive Technologies говорят, что открытие кода Runtime Radar — часть их инициативы по развитию open-source в области кибербезопасности. Проект уже вызвал интерес у специалистов по ИТ-мониторингу и команд SOC. В будущем разработчики планируют дополнять инструмент новыми функциями.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Google меняет процесс патчей для Android: теперь главное — риск уязвимости
Новость
Google меняет процесс патчей для Android: теперь главное — р...
Количество угонов аккаунтов Telegram выросло более чем на 50%
Новость
Количество угонов аккаунтов Telegram выросло более чем на 50...
Банк России определил критерии сомнительных операций для снятия наличных
Новость
Банк России определил критерии сомнительных операций для сня...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.