Malware: Infektion durch Mausbewegung in Powerpoint

IT-Sicherheitsforscher von Cluster25 haben eine bösartige PowerPoint-Präsentation entdeckt, die arglosen Opfern bei der geringsten Mausbewegung Schadcode unterjubelt und diesen ausführt. Die Forensiker gehen davon aus, dass die russisch-staatliche Cybergang APT28 dahintersteckt, die auch als Fancy Bear bekannt ist. Das Besondere an dieser Infektionsmethode: Sie kommt ganz ohne bösartige Makros aus und kann trotzdem Code aus dem Internet laden und ausführen.

Das Lock-Dokument führt Code aus, wenn Empfänger die Präsentation starten und die Maus bewegen. Das lässt ein PowerShell-Skript laufen, welches einen Dropper aus einem Microsoft OneDrive-Laufwerk herunterlädt und ausführt. Der Dropper lädt wiederum Schadcode nach, den er in eine Portable Executable (PE)-Datei extrahiert. Die Analysen deuteten darauf hin, dass es sich um eine Variante der Malware-Familie Graphite handelt. Diese nutzt die Microsoft-Graph-API und OneDrive für die Kommunikation mit den Command-and-Control-Servern.

Einsichten in die Malware

Die Metadaten der Powerpoint-Präse lassen darauf schließen, dass die Angreifer ein Template verwendet haben, das möglicherweise zur OECD gehört. Die OECD arbeitet mit Regierungen, Politikern und Bürgern zusammen, um evidenzbasierte internationale Standards und Lösungen für soziale, ökonomische und ökologische Herausforderungen zu erarbeiten, führen die Cluster25-Forscher in ihrem Bericht aus. Die Präsentation umfasst zwei Folien mit gleichem Inhalt, jeweils einmal auf Englisch und einmal auf Französisch. Es handele sich um eine Anleitung zur Nutzung der Übersetzungsfunktion von Zoom. Dies liefert Hinweise auf die vermutliche Zielgruppe des Angriffs.

Nach dem Starten der Präsentation löst das Bewegen der Maus durch ein Event über einen Hyperlink ein PowerShell-Script aus. Es werde durch das Werkzeug SyncAppvPublishingServer gestartet und lade die Datei DSC0002.jpeg aus einem OneDrive-Laufwerk herunter. Diese wird später in die Bibliothek C:\ProgramData\lmapi2.dll entschlüsselt und gespeichert. Persistenz erreiche die Malware durch das Verankern in der Registry in dem Schlüssel HKCU\Software\Classes\CLSID\{2735412E-7F64-5B0F-8F00-5D77AFBE261E}\InProcServer32, in dem die DLL mittels rundll32.exe ausgeführt werde.

Die Kommunikation mit den Command-and-Control-Servern laufe über die Domain graph.microsoft.com und missbrauche den Microsoft-Graph-Cloud-Dienst. Die Malware werde dabei zur Installation weiterer Schadsoftware eingesetzt. Zudem sichern die Drahtzieher ihren Zugang durch das Abrufen eines OAuth-Tokens mit einer fixen Client-ID. Dieses Vorgehen hat Microsoft jüngst auch bei Einbrüchen in Exchange-Online-Servern beobachtet.

Nach dem Einnisten fragt die Graphite-Malware die Microsoft Graph-API nach neuen Befehlen an und durchforstet die Dateien in einem OneDrive-Unterordner. Stößt sie auf eine neue Datei, lädt sie sie herunter und entschlüsselt sie mit einem AES-256-CBC-Algorithmus. Schließlich ermöglicht die Malware das Ausführen von Code aus dem Netz, indem sie den empfangenen Shellcode in einem eigenen Thread startet. Die Malware wurde den Metadaten zufolge im Januar und Februar dieses Jahres entwickelt, trat Cluster25 zufolge jedoch erst am 25. August und 09. September in Erscheinung. Daher gehen die Analysten davon aus, dass derzeit noch Aktivitäten damit stattfänden.

Basierend auf mehreren Indizien, geopolitischen Zielen und analysierten Dateien ordnet Cluster25 die Kampagne APT28 zu, die von Russlands Militärgeheimdienst GRU gesteuert werden. Als Ziele scheinen die Indizien auf Organisationen und Individuen aus dem Verteidigungs- und Regierungsbereich in Europa sowie osteuropäische Länder zu deuten. Das fügt sich ins derzeitige Lagebild: Russische Drahtzieher lenken offenbar mehrere Cybergangs. Außerdem verstärkt Russland im Krieg gegen die Ukraine seine Cyber-Angriffe.

(dmk)