Fancy Bear PowerPointon át
A Cluster25 kutatói olyan exploit kóddal kapcsolatos kutatásokat tettek közzé, amely akkor lép működésbe, amikor a felhasználó az egeret egy link fölé mozgatja egy fertőzött PowerPoint prezentációban. A kód elindít egy PowerShell szkriptet, amely letölti és futtatja a Graphite malware dropperét. A Graphite a Microsoft Graph API-járól kapta a nevét, amelyet a Microsoft OneDrive parancs- és vezérlési (C2) erőforrásainak elérésére használ.
Ez a fajta kommunikáció lehetővé teszi, hogy a kártevő hosszabb ideig elkerülje a felderítést, mivel csak legitim Microsoft-tartományokhoz csatlakozik. A támadást az orosz APT28 csoportnak tulajdonították, amely Sofacy vagy Fancy Bear néven is ismert, és legalább 2004 óta aktív. Fő tevékenysége a hírszerzés az orosz kormány számára. A csoportról ismert, hogy amerikai politikusokat, szervezeteket, sőt még nukleáris létesítményeket is célba vett. A Cluster25 szerint az európai országok védelmi és kormányzati szektorában működő szervezetek és magánszemélyek lehettek a kampány potenciális célpontjai.