APT-C-60 Groep maakt misbruik van WPS Office-lek om SpyGlace-backdoor te implementeren

Cyberspionage met Zuid-Koreaanse roots is in verband gebracht met de zero-day-exploitatie van een inmiddels gepatchte kritieke fout in Kingsoft WPS Office, die het mogelijk maakte om op afstand code uit te voeren. Hiermee werd een op maat gemaakte backdoor met de naam SpyGlace geïmplementeerd.

De activiteit is toegeschreven aan een dreigingsactor die bekend staat als APT-C-60volgens cybersecuritybedrijven ESET en DBAPPSecurity. De aanvallen blijken Chinese en Oost-Aziatische gebruikers te infecteren met malware.

De beveiligingsfout in kwestie is CVE-2024-7262 (CVSS-score: 9,3), die voortkomt uit een gebrek aan correcte validatie van door de gebruiker opgegeven bestandspaden. Deze maas in de wet stelt een tegenstander in staat om een ​​willekeurige Windows-bibliotheek te uploaden en externe code-uitvoering te bereiken.

De bug “staat code-uitvoering toe via het kapen van de controlestroom van het WPS Office-plugincomponent promecefpluginhost.exe,” zei ESET, eraan toevoegend dat het een andere manier had gevonden om hetzelfde effect te bereiken. De tweede kwetsbaarheid wordt gevolgd als CVE-2024-7263 (CVSS-score: 9,3).

De aanval van APT-C-60 maakt van de kwetsbaarheid een ‘one-click exploit’. Deze exploit neemt de vorm aan van een spreadsheetdocument met boobytraps dat in februari 2024 naar VirusTotal is geüpload.

Het bestand bevat namelijk een schadelijke link die, wanneer erop wordt geklikt, een infectie in meerdere fasen in gang zet en de SpyGlace-trojan aflevert. Dit is een DLL-bestand met de naam TaskControler.dll. Dit bestand kan bestanden stelen, plug-ins laden en opdrachten uitvoeren.

“De exploitontwikkelaars hebben een afbeelding van de rijen en kolommen van de spreadsheet in de spreadsheet geplaatst om de gebruiker te misleiden en ervan te overtuigen dat het document een gewone spreadsheet is,” aldus beveiligingsonderzoeker Romain Dumont. “De kwaadaardige hyperlink was gekoppeld aan de afbeelding, zodat klikken op een cel in de afbeelding de exploit zou activeren.”

Volgens het in Beijing gevestigde cybersecuritybedrijf ThreatBook is APT-C-60 vermoedelijk al sinds 2021 actief en werd SpyGlace al in juni 2022 in het wild aangetroffen.

“Ongeacht of de groep de exploit voor CVE-2024-7262 heeft ontwikkeld of gekocht, er was zeker onderzoek naar de interne werking van de applicatie voor nodig, maar ook kennis van hoe het laadproces van Windows verloopt”, aldus Dumont.

“De exploit is sluw omdat het misleidend genoeg is om elke gebruiker te misleiden om op een legitiem ogende spreadsheet te klikken, terwijl het ook erg effectief en betrouwbaar is. De keuze van het MHTML-bestandsformaat stelde de aanvallers in staat om een ​​kwetsbaarheid voor code-uitvoering om te zetten in een kwetsbaarheid op afstand.”

De onthulling komt nadat het Slowaakse cybersecuritybedrijf heeft opgemerkt dat een kwaadaardige plug-in van derden voor de Pidgin-berichtentoepassing met de naam ScreenShareOTR (of ss-otr) code bevatte die verantwoordelijk was voor het downloaden van binaire bestanden van de volgende fase van een command-and-control (C&C)-server, wat uiteindelijk leidde tot de implementatie van DarkGate-malware.

“De functionaliteit van de plugin, zoals geadverteerd, omvat schermdeling die gebruikmaakt van het beveiligde off-the-record messaging (OTR)-protocol. Daarnaast bevat de plugin echter schadelijke code,” aldus ESET. “Specifiek kunnen sommige versies van pidgin-screenshare.dll een PowerShell-script downloaden en uitvoeren vanaf de C&C-server.”

De plugin, die ook keylogger- en screenshot capture-functies bevat, is inmiddels verwijderd van de lijst met third-party plugins. Gebruikers die de plugin hebben geïnstalleerd, wordt aangeraden deze met onmiddellijke ingang te verwijderen.

ESET heeft inmiddels ontdekt dat dezelfde kwaadaardige backdoorcode als ScreenShareOTR ook is ontdekt in een app genaamd Cradle (“cradle(.)im”) die pretendeert een open-source fork te zijn van de Signal-berichtenapp. De app is al bijna een jaar beschikbaar om te downloaden, vanaf september 2023.

De kwaadaardige code wordt gedownload door een PowerShell-script uit te voeren, dat vervolgens een gecompileerd AutoIt-script ophaalt en uitvoert dat uiteindelijk DarkGate installeert. De Linux-variant van Cradle levert een ELF-uitvoerbaar bestand dat shell-opdrachten downloadt en uitvoert en de resultaten naar een externe server stuurt.

Een andere veelvoorkomende indicator is dat zowel het installatieprogramma van de plug-in als de Cradle-app zijn ondertekend met een geldig digitaal certificaat dat is uitgegeven door een Pools bedrijf met de naam “INTERREX – SP. Z OO”. Dit geeft aan dat de daders verschillende methoden gebruiken om malware te verspreiden.

Thijs Van der Does