APT28 гэгддэг аюул заналхийлэгч нь хортой программ байрлуулахын тулд Microsoft PowerPoint баримт бичигт хулганы хөдөлгөөнийг ашигладаг код гүйцэтгэх шинэ аргыг ашиглаж байгаа нь тогтоогджээ.
Cluster25 кибер аюулгүй байдлын кампани техникийн тайландаа "хэрэглэгч танилцуулах горимыг эхлүүлж, хулганаа хөдөлгөх үед энэ техникийг ажиллуулахаар зохион бүтээгдсэн" гэжээ. "Кодын гүйцэтгэл нь OneDrive-аас дусаагуурыг татан авч ажиллуулдаг PowerShell скриптийг ажиллуулдаг."
Хоргүй мэт санагдах зургийн файл нь дусаагуур нь Microsoft Graph API болон OneDrive-г ашиглан команд-хяналтын (C2) холболтыг ашигладаг Graphite гэгддэг хортой программын хувилбар болох дараагийн ачааллыг дамжуулах зам болж ажилладаг гэнэ.
Энэхүү халдлага нь Парист төвтэй засгийн газар хоорондын байгууллага болох Эдийн засгийн хамтын ажиллагаа, хөгжлийн байгууллага (OECD)-тэй холбоотой байж болзошгүй загварыг ашигласан төөрөгдлийн баримт бичгийг ашигладаг.
Cluster25 халдлагад ашигласан URL-ууд 8, 9-р сард идэвхтэй харагдаж байсан ч хакерууд 1-2-р сарын хооронд төлөвлөгөөт халдлагын үндэс суурийг тавьсан байсан тул халдлага үргэлжилж магадгүй гэж тэмдэглэжээ.
Халдлагын зорилтууд нь Европ, Зүүн Европын батлан хамгаалах болон засгийн газрын салбарт үйл ажиллагаа явуулдаг аж ахуйн нэгж, хувь хүмүүс байж магадгүй гэж төлөвлөгөөт халдлагын геополитикийн зорилго, цуглуулсан олдворуудын дүн шинжилгээг иш татан нэмж хэлэв.
2022 оны 1-р сард Trellix MSHTML алсын зайнаас код гүйцэтгэх эмзэг байдлыг (CVE-2021-40444) ашиглан арын хаалгыг устгасан ижил төстэй халдлагын сүлжээг илчилсэн.
Энэхүү бүтээн байгуулалт нь APT28 (Fancy Bear гэх мэт) нь ашигтай гэж үзсэн ашиглалтын замууд (жишээ нь, макро) ашиг олохоо больсон тул хамгийн их нөлөө үзүүлэхийн тулд техникийн ур чадвараа үргэлжлүүлэн сайжруулж, арга барилаа сайжруулж байгаагийн шинж тэмдэг юм гэжээ.
