DuskRiseはこのほど、「In the footsteps of the Fancy Bear: PowerPoint mouse-over event abused to deliver Graphite implants」において、PowerPointドキュメントをえらにマルウェアを展開しているサイバー攻撃グループがいると伝えた。「APT28(別名Fancy Bear、TSAR Team)」として知られているロシア国家支援の持続的標的型攻撃(APT: Advanced Persistent Threat)グループが、「Graphite」と呼ばれるマルウェアの亜種を展開していることが明らかとなった。

In the footsteps of the Fancy Bear: PowerPoint mouse-over event abused to deliver Graphite implants

DuskRiseの脅威インテリジェンス部門であるCluster25の調査によって、APT28のキャンペーンのルアー文書にPowerPointファイルが使われていることがわかった。このPowerPoint文書には、経済協力開発機構(OECD: Organisation for Economic Co-operation and Developmen)にリンクしている可能性のあるテンプレートが使われているという。

ユーザーがこのファイルを開いてプレゼンテーションモードを開始し、マウスを動かすとコードが実行されるという手法が悪用されている。このコード実行により、OneDriveからドロッパーをダウンロードするための悪意のあるPowerShellスクリプトが実行されてしまう。

ドロッパーであるPowerShellスクリプトはGraphiteと呼ばれるマルウェアの亜種の感染経路として機能し、コマンド&コントロール(C2: Command and Control)通信にMicrosoft Graph APIおよびOneDriveを使っていることが確認されている。

このマルウェアに使用されているURLが2022年8月および9月もアクティブなことから、攻撃が現在も進行中である可能性が高いと分析されている。また、いくつかの指標および地政学的な目的、分析されたアーティファクトから、このロシア支援の脅威グループがヨーロッパおよび東欧諸国の防衛および政府部門で活動している組織や個人をターゲットにしていると結論付けられている。