据信为俄罗斯工作的黑客开始使用一种新的代码执行技术，该技术依赖于 Microsoft PowerPoint 演示文稿中的鼠标移动来触发恶意 PowerShell 脚本。

恶意代码不需要恶意宏来执行和下载有效负载，从而进行更隐蔽的攻击。

来自威胁情报公司 Cluster25 的一份报告称，具备俄官方背景的APT组织 APT28（又名“Fancy Bear”）最近使用了这种新技术来传播 Graphite 恶意软件。

威胁行为者使用 PowerPoint (.PPT) 文件引诱目标，该文件据称与经济合作与发展组织 (OECD) 相关，该组织是一个致力于刺激全球经济进步和贸易的政府间组织。

PPT 文件内有两张幻灯片，以英文和法文对使用 Zoom 视频会议应用程序提供帮助说明。

使用 Graphite 恶意软件的新活动中使用的文档诱饵

PPT 文件包含一个链接，是使用 S syncAppvPublishingServer 实用程序启动恶意 PowerShell 脚本的触发器。自 2017 年 6 月以来，该技术已被记录在案。

Cluster25 表示，攻击者的目标是欧盟和东欧国家国防和政府部门实体。

当以演示模式打开诱饵文档并且受害者将鼠标悬停在超链接上时，会激活恶意 PowerShell 脚本以从 Microsoft OneDrive 帐户下载 JPEG 文件（“DSC0002.jpeg”）。

JPEG 是一个加密的 DLL 文件 ( lmapi2.dll )，它被解密并放在“C:\ProgramData\”目录中，稍后通过rundll32.exe执行。还为 DLL 创建了一个用于持久性的注册表项。

接下来，lmapi2.dll在之前由 DLL 创建的新线程上获取并解密第二个 JPEG 文件并将其加载到内存中。生成的有效负载是PE格式的Graphite恶意可执行文件。

Graphite 通过Microsoft Graph API 和 OneDrive 与C2服务器进行通信。Graphite 恶意软件的目的是允许攻击者将其他恶意软件加载到系统内存中执行。早在 1 月份，Trellix 的研究人员 就记录了这一点，Trellix 是 McAfee Enterprise 和 FireEye 的合并公司，之所以如此命名，是因为它利用 Microsoft Graph API 将 OneDrive 用作 C2。

Trellix 调查的活动使用了一份名为“parliament_rew.xlsx”和“Missions Budget.xlsx”的 Excel 文件，这些文件针对国防工业的政府雇员和个人。

根据与 2018 年恶意软件样本的代码相似性、目标以及攻击中使用的基础设施，Trellix 以中等信心将 Graphite 归因于 APT28。