Cyberthreat.id – Aktor ancaman yang disponsori negara Rusia yang dikenal sebagai APT28 telah ditemukan memanfaatkan metode eksekusi kode baru yang memanfaatkan gerakan mouse dalam umpan dokumen Microsoft PowerPoint untuk menyebarkan malware.

Teknik "dirancang untuk dipicu ketika pengguna memulai mode presentasi dan menggerakkan mouse," kata perusahaan keamanan siber Cluster25 dalam sebuah laporan teknis. "Eksekusi kode menjalankan skrip PowerShell yang mengunduh dan menjalankan penetes dari OneDrive," dikutip dari The Hacker News, Kamis (29/9).

Dropper, file gambar yang tampaknya tidak berbahaya, berfungsi sebagai jalur untuk muatan lanjutan, varian malware yang dikenal sebagai Graphite, yang menggunakan Microsoft Graph API dan OneDrive untuk komunikasi command-and-control (C2) untuk mengambil tambahan muatan.

Serangan tersebut menggunakan dokumen iming-iming yang menggunakan template yang berpotensi terkait dengan Organisasi untuk Kerjasama dan Pembangunan Ekonomi (OECD), sebuah entitas antar pemerintah yang berbasis di Paris.

Cluster25 mencatat bahwa serangan mungkin sedang berlangsung, mengingat URL yang digunakan dalam serangan tersebut tampak aktif pada bulan Agustus dan September, meskipun peretas sebelumnya telah meletakkan dasar untuk kampanye antara Januari dan Februari.

Target potensial dari operasi tersebut kemungkinan mencakup entitas dan individu yang beroperasi di sektor pertahanan dan pemerintah Eropa dan Eropa Timur, tambah perusahaan itu, mengutip analisis tujuan geopolitik dan artefak yang dikumpulkan.

Ini bukan pertama kalinya kolektif musuh menggunakan Graphite. Pada Januari 2022, Trellix mengungkapkan rantai serangan serupa yang mengeksploitasi kerentanan eksekusi kode jarak jauh MSHTML (CVE-2021-40444) untuk menjatuhkan pintu belakang.

Perkembangan ini merupakan tanda bahwa APT28 (alias Fancy Bear) terus mengasah keahlian teknisnya dan mengembangkan metodenya untuk dampak maksimum karena rute eksploitasi yang dulu dianggap layak (misalnya, makro) tidak lagi menguntungkan.