Denise Bergert

Hacker lösen durch Mausbewegungen in Powerpoint-Präsentationen ein bösartiges Powershell-Skript aus.

Vergrößern Russischer Hacker haben angeblich eine Spionage-Kampagne gestartet. © Cluster25

Angeblich aus Russland stammende Hacker haben eine neue Technik zur Ausführung von Malware-Code entwickelt . Für den Angriff ist ein bösartiges Makro erforderlich, damit der Schadcode ausgeführt und die Nutzlast heruntergeladen werden kann. Das erreichen die Hacker über Mausbewegungen in Microsofts Präsentationssoftware Powerpoint.

Wie das Sicherheitsunternehmen Cluster25 berichtet , sei diese Technik erstmals am 9. September 2022 zum Einsatz gekommen. Auf diese Weise hätten die Hackergruppe APT28 die Graphite-Malware verbreitet. Diese ermöglicht es Angreifern, andere Malware in den Systemspeicher zu laden. Ihren Opfern schickt die Hackergruppe eine Powerpoint-Datei, die angeblich von der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) stammt. In dieser Datei werden auf zwei Folien in Englisch und Französisch die Dolmetscheroptionen in der Videokonferenz-App Zoom erklärt. In der PPT-Datei ist außerdem ein Hyperlink enthalten, über den das bösartige Powershell-Skript mit dem Dienstprogramm SyncAppvPublishingServer gestartet wird. Laut Cluster25 wurde die Kampagne von den Hackern bereits im Januar und Februar 2022 geplant. Aktiv waren die in den Angriffen verwendeten URLs dann im August und September.

Spionage-Kampagne in der EU und Osteuropa

Die Sicherheitsexperten von Cluster25 gehen davon aus, dass es sich bei den Angriffen um eine Spionage-Kampagne der russischen Regierung handelt. Als Ziel haben die Angreifer Einrichtungen im Verteidigungs- und Regierungssektor in Osteuropa und in der Europäischen Union ins Auge gefasst.