El grupo APT-C-60 explota la falla de WPS Office para implementar la puerta trasera SpyGlace

SpyGlace Backdoor

28 de agosto de 2024Lakshmanan encantadoCiberataque / Vulnerabilidad

Puerta trasera SpyGlace

El ciberespionaje vinculado a Corea del Sur se ha relacionado con la explotación de día cero de una falla crítica de ejecución remota de código ahora parcheada en Kingsoft WPS Office para implementar una puerta trasera hecha a medida denominada SpyGlace.

La actividad fue rastreada hasta un actor de amenazas apodado APT-C-60según las empresas de ciberseguridad ESET y DBAPPSecurity. Los ataques fueron encontrar para infectar a usuarios chinos y de Asia oriental con malware.

La falla de seguridad en cuestión es CVE-2024-7262 (Puntuación CVSS: 9,3), que resulta de una falta de validación adecuada de las rutas de archivos proporcionadas por el usuario. Básicamente, esta falla permite a un adversario descargar una biblioteca arbitraria de Windows y ejecutar código de forma remota.

Ciberseguridad

El error “permite la ejecución de código mediante el secuestro del flujo de control del componente del complemento WPS Office promecefpluginhost.exe”, ESET dichoañadiendo que encontró otra manera de lograr el mismo efecto. La segunda vulnerabilidad se rastrea como CVE-2024-7263 (Puntuación CVSS: 9,3).

El ataque diseñado por APT-C-60 convierte la falla en un exploit de un solo clic que toma la forma de un documento de hoja de cálculo con trampa explosiva que se subió a VirusTotal en febrero de 2024.

Específicamente, el archivo viene con un enlace malicioso que, al hacer clic, desencadena una secuencia de infección de varios pasos para entregar el troyano SpyGlace, un archivo DLL llamado TaskControler.dll que ofrece capacidades de robo de archivos, carga de complementos y ejecución de comandos.

«Los desarrolladores del exploit incrustaron una imagen de las filas y columnas de la hoja de cálculo para engañar y convencer al usuario de que el documento es una hoja de cálculo normal», dijo el investigador Romain Dumont. “El hipervínculo malicioso estaba vinculado a la imagen de modo que al hacer clic en una celda de la imagen se activaría el exploit. »

APT-C-60 es creyó estar activo desde 2021, con SpyGlace detectado ya en junio de 2022, según ThreatBook, proveedor de ciberseguridad con sede en Beijing.

«Ya sea que el grupo haya desarrollado o comprado el exploit para CVE-2024-7262, ciertamente requirió investigación sobre el funcionamiento interno de la aplicación, pero también conocimiento del comportamiento del proceso de carga de Windows», dijo Dumont.

“El exploit es inteligente porque es lo suficientemente engañoso como para engañar a cualquier usuario para que haga clic en una hoja de cálculo que parece legítima y, al mismo tiempo, es muy efectivo y confiable. La elección del formato de archivo MHTML permitió a los atacantes convertir una vulnerabilidad de ejecución de código en una vulnerabilidad remota. »

Ciberseguridad

Esta revelación se produce cuando la compañía eslovaca de ciberseguridad descubrió que un complemento malicioso de terceros para la aplicación de mensajería Pidgin llamado ScreenShareOTR (o ss-otr) hospedaba el código responsable de descargar archivos binarios de la siguiente etapa desde un servidor de comando y control (C&C), lo que en última instancia condujo al despliegue del malware DarkGate.

“La funcionalidad del complemento, como se anuncia, incluye compartir pantalla que utiliza el protocolo de mensajería segura no registrada (OTR). Sin embargo, además de eso, el complemento contiene código malicioso”, dijo ESET. dicho. “Específicamente, algunas versiones de pidgin-screenshare.dll pueden descargar y ejecutar un script de PowerShell desde el servidor C&C. »

El complemento, que también contiene funciones de registro de teclas y captura de pantalla, desde entonces ha sido eliminado del lista de complementos de tercerosSe recomienda a los usuarios que hayan instalado el complemento que lo eliminen con efecto inmediato.

ESET desde entonces encontrar que el mismo código de puerta trasera malicioso que ScreenShareOTR también se descubrió en una aplicación llamada Cuna («cuna[.]im») que afirma ser una bifurcación de código abierto de la aplicación de mensajería Signal. La aplicación ha estado disponible para descargar durante casi un año a partir de septiembre de 2023.

La descarga del código malicioso se logra ejecutando un script de PowerShell, que luego busca y ejecuta un script AutoIt compilado que finalmente instala DarkGate. La versión Linux de Cradle proporciona un ejecutable ELF que descarga y ejecuta comandos de shell y envía los resultados a un servidor remoto.

Otro indicador común es que el instalador del complemento y la aplicación Cradle están firmados con un certificado digital válido emitido a una empresa polaca llamada “INTERREX – SP. Z OO”, indicando que los autores utilizan diferentes métodos para difundir malware.

¿Te pareció interesante este artículo? Síguenos en Gorjeo Y LinkedIn para leer más del contenido exclusivo que publicamos.