APT28 использует движение мыши в файлах PowerPoint для запуска вредоноса

Екатерина Быстрова 27 Сентября 2022 - 14:24

Таргетированные атаки

...

APT28 использует движение мыши в файлах PowerPoint для запуска вредоноса

Киберпреступники, работающие, по словам зарубежных специалистов, на Россию, начали прибегать к новой технике для запуска кода на компьютере жертвы. Этот подход рассчитан на использование движений мыши в презентациях Microsoft PowerPoint.

Таким образом, атакующим не требуются вредоносные макросы для запуска скрипта PowerShell. Согласно отчёту Cluster25, новый метод взяла на вооружение киберпреступная группировка APT28, также известная под именем “Fancy Bear“.

Исследователи отмечают, что в этих кампаниях злоумышленники устанавливают в системы жертв вредоносную программу Graphite. Одну из таких атак зафиксировали 9 сентября 2022 года.

В качестве приманки используется файл в формате .PPT (презентация PowerPoint), который якобы связан с Организацией экономического сотрудничества и развития (ОЭСР) — международным экономическим органом развитых стран.

Внутри PPT-файла располагаются два слайда, на которых изображены инструкции на английском и французском языках. В этих инструкциях объясняется, как пользоваться функцией перевода в сервисе для видеоконференций Zoom.

Кроме того, в отправляемых PPT-файлах была гиперссылка, которая как раз и выступала триггером для запуска вредоносного скрипта PowerShell с помощью утилиты SyncAppvPublishingServer.

В отчёте Cluster25 эксперты говорят, что злоумышленники подготавливали эти кампании с января по февраль. Если посмотреть на график, соответствующие URL также всплывали в августе и сентябре.

При открытии документа-приманки в режиме презентации жертве достаточно навести указатель мыши на гиперссылку, чтобы активировать вредоносный скрипт и загрузить на компьютер файл в формате JPEG — “DSC0002.jpeg“. Изображение, кстати, скачивается из аккаунта Microsoft OneDrive и сохраняется в директории C:\ProgramData\, после чего запускается с помощью rundll32.exe.

Далее в дело вступает следующий пейлоад — lmapi2.dll, который сбрасывает и расшифровывает второй JPEG-файл, загружая его сразу в память. Главный вредонос Graphite использует API Microsoft Graph API и OneDrive для взаимодействия с командным сервером.

Следующая главная новость »

Кибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!

Екатерина Быстрова 15 Июня 2026 - 10:19

GenAI (генеративный искусственный интеллект) Общее

ИИ экономит 11 часов в неделю, но 6 из них уходят на присмотр за ботом

Искусственный интеллект попал в неудобную статистику. Новое исследование Work AI Institute показало, что сотрудники действительно экономят время благодаря ИИ — в среднем около 11 часов в неделю. Но есть нюанс: более шести часов из этой экономии приходится тратить на проверку, исправление и контроль работы самого ИИ.

Исследование охватило 6000 офисных сотрудников из США, Великобритании и Австралии.

Опрос показал, что 75% работников заметили рост личной продуктивности после внедрения ИИ-инструментов. Однако только 13% компаний сообщили о заметном росте бизнеса благодаря этим технологиям.

Получается любопытный парадокс. Формально сотрудники работают быстрее, но бизнес почему-то не получает сопоставимой выгоды.

По словам профессора Калифорнийского университета Пола Леонарди, многие недооценивают объём скрытой работы, которая появляется вместе с ИИ. Нужно собирать данные, подготавливать контекст, перепроверять ответы чат-ботов, искать ошибки и дорабатывать результаты вручную.

Фактически современные сотрудники всё чаще выступают не исполнителями, а менеджерами собственных цифровых помощников.

Согласно исследованию, 37% времени взаимодействия с ИИ уходит непосредственно на работу с ботами, а ещё 36% — на применение полученных результатов в реальных задачах. Более того, 41% опрошенных признались, что не могут объяснить, каким образом ИИ пришёл к своим выводам.

Авторы приводят показательный пример. Молодой разработчик перед уходом домой интегрировал в проект тысячи строк кода, сгенерированного ИИ. После этого система перестала работать, а разбираться в причинах пришлось старшему инженеру. Сам автор изменений не смог объяснить, что именно сделал искусственный интеллект.