© Nghia Nguyen / Unsplash
© Nghia Nguyen / Unsplash

APT28, un groupe de hackers soutenu par le pouvoir russe, semble avoir exploité une nouvelle méthode d'exécution de code fondée sur la fonctionnalité « survol » de PowerPoint.

Déployer des malwares sur un PC en exploitant une simple fonctionnalité de PowerPoint : c'est ce que des hackers russes ont visiblement réussi à faire grâce aux mouvements de la souris sur le logiciel de Microsoft.

Une technique pernicieuse comme jamais

La technique « est conçue pour être déclenchée lorsque l'utilisateur lance le mode de présentation et déplace la souris », détaille Cluster25, une entreprise spécialisée en sécurité dont les propos nous sont rapportés par TheHackerNews. « L'exécution du code lance un script PowerShell qui télécharge et exécute un dropper depuis OneDrive. »

Comme l'indique le site, le dropper prend en l'occurrence la forme d'un fichier image d'apparence inoffensive. Il sert pourtant de voie d'accès à un payload de suivi. Ce dernier repose sur une variante d'un malware baptisé Graphite qui utilise l'API Microsoft Graph et OneDrive, déjà employé par APT28 (également connu sous le nom de Fancy Bear).

Pour finir, l'attaque est orchestrée à partir d'un faux document qui utilise un template de l'OECD (Organisation for Economic Co-operation and Development) située à Paris, lit-on.

Une attaque utilisée activement

D'après le rapport publié par Cluster25, des attaques exploitant cette technique pourraient être en cours. Les URL utilisées par les dernières attaques ont en effet été identifiées comme étant actives en août et plus récemment en septembre. Les pirates d'APT28 avaient pour leur part jeté les bases de cette méthode d'exécution entre janvier et février, précise TheHackerNews.

Quant à la question des cibles potentielles de cette technique de piratage, Cluster25 estime que les individus qui travaillent dans les secteurs de la défense ou au sein de gouvernements en Europe et en Europe de l'Est semblent visés en premier lieu. Un ciblage qui ne surprendra personne, compte tenu du contexte géopolitique actuel.

Source : TheHackerNews