Grupo APT-C-60 explora falha no WPS Office
29 de Agosto de 2024

Um ciberespionagem alinhada à Coreia do Sul foi relacionada à exploração de um zero-day, agora corrigido, de uma falha crítica de execução remota de código no Kingsoft WPS Office para implantar um backdoor personalizado apelidado de SpyGlace.

A atividade foi atribuída a um ator de ameaça apelidado de APT-C-60, segundo as empresas de cibersegurança ESET e DBAPPSecurity.

Os ataques foram encontrados infectando usuários chineses e do leste asiático com malware.
O defeito de segurança em questão é o CVE-2024-7262 (pontuação CVSS: 9.3), que decorre da falta de uma validação adequada dos caminhos de arquivo fornecidos pelo usuário.

Essa brecha essencialmente permite que um adversário faça upload de uma biblioteca Windows arbitrária e realize execução remota de código.

O bug "permite a execução de código via sequestro do fluxo de controle do componente plugin do WPS Office, promecefpluginhost.exe," disse a ESET, acrescentando ter encontrado outra forma de alcançar o mesmo efeito.

A segunda vulnerabilidade é rastreada como CVE-2024-7263 (pontuação CVSS: 9.3).
O ataque concebido pelo APT-C-60 arma a falha em um exploit de um clique que assume a forma de um documento de planilha armadilhado que foi carregado no VirusTotal em fevereiro de 2024.

Especificamente, o arquivo vem incorporado com um link malicioso que, quando clicado, desencadeia uma sequência de infecção em múltiplos estágios para entregar o trojan SpyGlace, um arquivo DLL nomeado TaskControler.dll que vem com capacidades de roubo de arquivo, carregamento de plugin e execução de comando.

"Os desenvolvedores do exploit incorporaram uma imagem das linhas e colunas da planilha dentro da própria planilha para enganar e convencer o usuário de que o documento é uma planilha regular," disse o pesquisador de segurança Romain Dumont.

O hyperlink malicioso estava vinculado à imagem de modo que um clique em uma célula na foto desencadeasse o exploit.

Acredita-se que o APT-C-60 está ativo desde 2021, com o SpyGlace detectado em atividade desde junho de 2022, segundo a empresa de cibersegurança baseada em Pequim, ThreatBook.

"Independentemente de o grupo ter desenvolvido ou comprado o exploit para o CVE-2024-7262 , definitivamente requeriu alguma pesquisa sobre os detalhes internos da aplicação, mas também conhecimento sobre como se comporta o processo de carregamento do Windows," disse Dumont.

O exploit é astuto, pois é o suficiente para enganar qualquer usuário a clicar em uma planilha de aparência legítima enquanto também é muito eficaz e confiável. A escolha do formato de arquivo MHTML permitiu que os atacantes transformassem uma vulnerabilidade de execução de código em uma remota.

A revelação ocorre enquanto a empresa de cibersegurança eslovaca notou que um plugin malicioso de terceiros para o aplicativo de mensagens Pidgin chamado ScreenShareOTR (ou ss-otr) continha código responsável por baixar binários do próximo estágio de um servidor de comando e controle (C&C), levando à implantação do malware DarkGate.

"A funcionalidade do plugin, conforme anunciado, inclui compartilhamento de tela que usa o protocolo seguro de mensagens off-the-record (OTR). No entanto, além disso, o plugin contém código malicioso," disse ESET.

Especificamente, algumas versões do pidgin-screenshare.dll podem baixar e executar um script do PowerShell do servidor C&C.
O plugin, que também contém recursos de keylogger e captura de tela, foi removido da lista de plugins de terceiros.

Recomenda-se que os usuários que instalaram o plugin o removam imediatamente.

ESET desde então descobriu que o mesmo código backdoor malicioso que o ScreenShareOTR também foi descoberto em um aplicativo chamado Cradle ("cradle[.]im") que alega ser um fork de código aberto do aplicativo de mensagens Signal.

O aplicativo esteve disponível para download por quase um ano desde setembro de 2023.
O código malicioso é baixado através da execução de um script do PowerShell, que em seguida busca e executa um script compilado AutoIt que finalmente instala o DarkGate.

A versão Linux do Cradle entrega um executável ELF que baixa e executa comandos shell e envia os resultados para um servidor remoto.

Outro indicador comum é que tanto o instalador do plugin quanto o aplicativo Cradle são assinados com um certificado digital válido emitido para uma empresa polonesa chamada
"INTERREX - SP.Z O.O.," sugerindo que os perpetradores estão utilizando diferentes métodos para disseminar malware.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...