O agente de ameaça conhecido como APT-C-60 foi associado a um ataque cibernético visando uma organização não nomeada no Japão, que utilizou um isca temática de aplicação de emprego para entregar o backdoor SpyGlace.
Isso de acordo com as descobertas da JPCERT/CC, que disse que a intrusão se aproveitou de serviços legítimos como Google Drive, Bitbucket e StatCounter.
O ataque foi realizado em torno de agosto de 2024.
"Neste ataque, um e-mail fingindo ser de um possível empregado foi enviado para o contato de recrutamento da organização, infectando o contato com malware", disse a agência.
APT-C-60 é o nome atribuído a um grupo de espionagem cibernética alinhado à Coreia do Sul, conhecido por visar países do Leste Asiático.
Em agosto de 2024, observou-se explorando uma vulnerabilidade de execução de código remoto no WPS Office para Windows (
CVE-2024-7262
) para soltar um backdoor personalizado chamado SpyGlace.
A cadeia de ataque descoberta pela JPCERT/CC envolve o uso de um e-mail de phishing que contém um link para um arquivo hospedado no Google Drive, um arquivo de disco rígido virtual (VHDX), que, quando baixado e montado, inclui um documento isca e um atalho do Windows ("Self-Introduction.lnk").
O arquivo LNK é responsável por disparar as etapas subsequentes na cadeia de infecção, ao mesmo tempo que exibe o documento isca como distração.
Isso implica lançar um payload de downloader/dropper nomeado "SecureBootUEFI.dat" que, por sua vez, usa o StatCounter, uma ferramenta legítima de análise da web, para transmitir uma string que pode identificar de forma única um dispositivo vítima usando o campo referer HTTP.
O valor da string é derivado do nome do computador, diretório doméstico e nome do usuário e codificado.
O downloader acessa então o Bitbucket usando a string única codificada para recuperar a próxima etapa, um arquivo conhecido como "Service.dat", que baixa mais dois artefatos de um repositório Bitbucket diferente - "cbmp.txt" e "icon.txt" - que são salvos como "cn.dat" e "sp.dat", respectivamente.
"Service.dat" também persiste "cn.dat" no host comprometido usando uma técnica chamada COM hijacking, após o qual o último executa o backdoor SpyGlace ("sp.dat").
O backdoor, por sua parte, estabelece contato com um servidor de comando e controle ("103.187.26[.]176") e aguarda instruções adicionais que permitem que ele roube arquivos, carregue plugins adicionais e execute comandos.
Vale notar que as empresas de cibersegurança Chuangyu 404 Lab e Positive Technologies relataram de forma independente sobre campanhas idênticas entregando o malware SpyGlace, além de destacar evidências apontando para APT-C-60 e APT-Q-12 (também conhecido como Pseudo Hunter) sendo subgrupos dentro do cluster DarkHotel.
"Grupos da região da Ásia continuam a usar técnicas não padrão para entregar seu malware aos dispositivos das vítimas", disse a Positive Technologies.
Uma dessas técnicas é o uso de discos virtuais nos formatos VHD/VHDX para contornar os mecanismos de proteção do sistema operacional.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...