Grupo APT-C-60 explora falha no WPS Office
29 de Agosto de 2024

Um ciberespionagem alinhada à Coreia do Sul foi relacionada à exploração de um zero-day, agora corrigido, de uma falha crítica de execução remota de código no Kingsoft WPS Office para implantar um backdoor personalizado apelidado de SpyGlace.

A atividade foi atribuída a um ator de ameaça apelidado de APT-C-60, segundo as empresas de cibersegurança ESET e DBAPPSecurity.

Os ataques foram encontrados infectando usuários chineses e do leste asiático com malware.
O defeito de segurança em questão é o CVE-2024-7262 (pontuação CVSS: 9.3), que decorre da falta de uma validação adequada dos caminhos de arquivo fornecidos pelo usuário.

Essa brecha essencialmente permite que um adversário faça upload de uma biblioteca Windows arbitrária e realize execução remota de código.

O bug "permite a execução de código via sequestro do fluxo de controle do componente plugin do WPS Office, promecefpluginhost.exe," disse a ESET, acrescentando ter encontrado outra forma de alcançar o mesmo efeito.

A segunda vulnerabilidade é rastreada como CVE-2024-7263 (pontuação CVSS: 9.3).
O ataque concebido pelo APT-C-60 arma a falha em um exploit de um clique que assume a forma de um documento de planilha armadilhado que foi carregado no VirusTotal em fevereiro de 2024.

Especificamente, o arquivo vem incorporado com um link malicioso que, quando clicado, desencadeia uma sequência de infecção em múltiplos estágios para entregar o trojan SpyGlace, um arquivo DLL nomeado TaskControler.dll que vem com capacidades de roubo de arquivo, carregamento de plugin e execução de comando.

"Os desenvolvedores do exploit incorporaram uma imagem das linhas e colunas da planilha dentro da própria planilha para enganar e convencer o usuário de que o documento é uma planilha regular," disse o pesquisador de segurança Romain Dumont.

O hyperlink malicioso estava vinculado à imagem de modo que um clique em uma célula na foto desencadeasse o exploit.

Acredita-se que o APT-C-60 está ativo desde 2021, com o SpyGlace detectado em atividade desde junho de 2022, segundo a empresa de cibersegurança baseada em Pequim, ThreatBook.

"Independentemente de o grupo ter desenvolvido ou comprado o exploit para o CVE-2024-7262 , definitivamente requeriu alguma pesquisa sobre os detalhes internos da aplicação, mas também conhecimento sobre como se comporta o processo de carregamento do Windows," disse Dumont.

O exploit é astuto, pois é o suficiente para enganar qualquer usuário a clicar em uma planilha de aparência legítima enquanto também é muito eficaz e confiável. A escolha do formato de arquivo MHTML permitiu que os atacantes transformassem uma vulnerabilidade de execução de código em uma remota.

A revelação ocorre enquanto a empresa de cibersegurança eslovaca notou que um plugin malicioso de terceiros para o aplicativo de mensagens Pidgin chamado ScreenShareOTR (ou ss-otr) continha código responsável por baixar binários do próximo estágio de um servidor de comando e controle (C&C), levando à implantação do malware DarkGate.

"A funcionalidade do plugin, conforme anunciado, inclui compartilhamento de tela que usa o protocolo seguro de mensagens off-the-record (OTR). No entanto, além disso, o plugin contém código malicioso," disse ESET.

Especificamente, algumas versões do pidgin-screenshare.dll podem baixar e executar um script do PowerShell do servidor C&C.
O plugin, que também contém recursos de keylogger e captura de tela, foi removido da lista de plugins de terceiros.

Recomenda-se que os usuários que instalaram o plugin o removam imediatamente.

ESET desde então descobriu que o mesmo código backdoor malicioso que o ScreenShareOTR também foi descoberto em um aplicativo chamado Cradle ("cradle[.]im") que alega ser um fork de código aberto do aplicativo de mensagens Signal.

O aplicativo esteve disponível para download por quase um ano desde setembro de 2023.
O código malicioso é baixado através da execução de um script do PowerShell, que em seguida busca e executa um script compilado AutoIt que finalmente instala o DarkGate.

A versão Linux do Cradle entrega um executável ELF que baixa e executa comandos shell e envia os resultados para um servidor remoto.

Outro indicador comum é que tanto o instalador do plugin quanto o aplicativo Cradle são assinados com um certificado digital válido emitido para uma empresa polonesa chamada
"INTERREX - SP.Z O.O.," sugerindo que os perpetradores estão utilizando diferentes métodos para disseminar malware.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...