APT-C-60-hackers misbruiken StatCounter en Bitbucket in SpyGlace-malwarecampagne

De bedreigingsacteur bekend als APT-C-60 is in verband gebracht met een cyberaanval gericht op een naamloze organisatie in Japan die een lokmiddel met een sollicitatiethema gebruikte om de SpyGlace-achterdeur te bezorgen.

Dat blijkt uit bevindingen van JPCERT/CC, die stelt dat de inbraak gebruik maakte van legitieme services zoals Google Drive, Bitbucket en StatCounter. De aanval werd rond augustus 2024 uitgevoerd.

“Bij deze aanval werd een e-mail verzonden die zogenaamd afkomstig was van een potentiële werknemer naar de rekruteringscontactpersoon van de organisatie, waardoor deze werd geïnfecteerd met malware”, aldus het bureau.

APT-C-60 is de bijnaam die is toegewezen aan een op Zuid-Korea gerichte cyberspionagegroep waarvan bekend is dat zij zich op Oost-Aziatische landen richt. In augustus 2024 werd waargenomen dat misbruik werd gemaakt van een kwetsbaarheid voor het uitvoeren van externe code in WPS Office voor Windows (CVE-2024-7262) om een ​​aangepaste achterdeur genaamd SpyGlace te laten vallen.

De door JPCERT/CC ontdekte aanvalsketen omvat het gebruik van een phishing-e-mail die een link bevat naar een bestand dat wordt gehost op Google Drive, een bestand op de virtuele harde schijf (VHDX), dat, wanneer het wordt gedownload en aangekoppeld, een lokdocument bevat en een Windows-snelkoppeling (“Self-Introduction.lnk”).

Het LNK-bestand is verantwoordelijk voor het activeren van de volgende stappen in de infectieketen, terwijl het lokdocument ook als afleiding wordt weergegeven.

Dit omvat het lanceren van een downloader/dropper-payload genaamd “SecureBootUEFI.dat”, die op zijn beurt StatCounter, een legitieme webanalysetool, gebruikt om een ​​string te verzenden die een slachtofferapparaat op unieke wijze kan identificeren met behulp van het HTTP-refererveld. De tekenreekswaarde wordt afgeleid van de computernaam, de thuismap en de gebruikersnaam en gecodeerd.

SpyGlace-achterdeur

De downloader opent vervolgens Bitbucket met behulp van de gecodeerde unieke tekenreeks om de volgende fase op te halen, een bestand dat bekend staat als “Service.dat”, dat nog twee artefacten downloadt uit een andere Bitbucket-repository: “cbmp.txt” en “icon.txt” – die respectievelijk worden opgeslagen als “cn.dat” en “sp.dat”.

“Service.dat” houdt ook “cn.dat” vast op de besmette host met behulp van een techniek genaamd COM-kaping, waarna deze laatste de SpyGlace-achterdeur (“sp.dat”) uitvoert.

De achterdeur maakt op zijn beurt contact met een command-and-control-server (“103.187.26(.)176”) en wacht op verdere instructies waarmee deze bestanden kan stelen, extra plug-ins kan laden en opdrachten kan uitvoeren.

Het is vermeldenswaard dat cyberbeveiligingsbedrijven Chuangyu 404 Lab en Positive Technologies onafhankelijk hebben gerapporteerd over identieke campagnes die de SpyGlace-malware leveren, naast het benadrukken van bewijsmateriaal dat erop wijst dat APT-C-60 en APT-Q-12 (ook bekend als Pseudo Hunter) subgroepen zijn binnen de DarkHotel-cluster.

“Groepen uit de Aziatische regio blijven niet-standaardtechnieken gebruiken om hun malware op de apparaten van slachtoffers te bezorgen”, aldus Positive Technologies. “Eén van deze technieken is het gebruik van virtuele schijven in VHD/VHDX-formaat om de beveiligingsmechanismen van het besturingssysteem te omzeilen.”

Thijs Van der Does