APT-C-60 nutzt Schwachstelle in WPS Office zur Verbreitung von SpyGlace-Backdoor

TOKIO / MÜNCHEN (IT BOLTWISE) – Ein neuer Cyberangriff, der auf eine Organisation in Japan abzielt, hat die Aufmerksamkeit der Sicherheitsgemeinschaft erregt. Der Angriff, der von der als APT-C-60 bekannten Gruppe durchgeführt wurde, nutzte eine Schwachstelle in WPS Office aus, um die SpyGlace-Backdoor zu installieren.

Die Bedrohungsakteure, die unter dem Namen APT-C-60 bekannt sind, haben einen Cyberangriff auf eine nicht näher benannte Organisation in Japan durchgeführt. Dabei wurde ein Köder im Stil einer Bewerbung genutzt, um die SpyGlace-Backdoor zu verbreiten. Laut JPCERT/CC nutzte der Angriff legitime Dienste wie Google Drive, Bitbucket und StatCounter. Der Angriff fand im August 2024 statt.

In diesem Angriff wurde eine E-Mail, die angeblich von einem potenziellen Mitarbeiter stammte, an den Rekrutierungskontakt der Organisation gesendet, wodurch dieser mit Malware infiziert wurde. APT-C-60 ist eine südkoreanisch ausgerichtete Cyber-Spionage-Gruppe, die dafür bekannt ist, ostasiatische Länder ins Visier zu nehmen. Im August 2024 wurde beobachtet, wie sie eine Schwachstelle zur Remote-Code-Ausführung in WPS Office für Windows (CVE-2024-7262) ausnutzte, um eine maßgeschneiderte Backdoor namens SpyGlace zu installieren.

Die von JPCERT/CC entdeckte Angriffskette umfasst die Verwendung einer Phishing-E-Mail, die einen Link zu einer auf Google Drive gehosteten Datei enthält. Diese Datei ist ein virtuelles Festplattenabbild (VHDX), das beim Herunterladen und Einbinden ein Ablenkungsdokument und eine Windows-Verknüpfung („Self-Introduction.lnk“) enthält. Die LNK-Datei ist dafür verantwortlich, die nachfolgenden Schritte in der Infektionskette auszulösen, während sie gleichzeitig das Köderdokument als Ablenkung anzeigt.

Dies beinhaltet das Starten einer Downloader-/Dropper-Nutzlast namens „SecureBootUEFI.dat“, die wiederum StatCounter, ein legitimes Webanalyse-Tool, verwendet, um eine Zeichenfolge zu übertragen, die ein Opfergerät eindeutig identifizieren kann. Der Wert der Zeichenfolge wird aus dem Computernamen, dem Heimatverzeichnis und dem Benutzernamen abgeleitet und codiert. Der Downloader greift dann mit der codierten eindeutigen Zeichenfolge auf Bitbucket zu, um die nächste Stufe abzurufen, eine Datei namens „Service.dat“, die zwei weitere Artefakte aus einem anderen Bitbucket-Repository herunterlädt – „cbmp.txt“ und „icon.txt“ –, die als „cn.dat“ und „sp.dat“ gespeichert werden.

„Service.dat“ sorgt auch dafür, dass „cn.dat“ auf dem kompromittierten Host mit einer Technik namens COM-Hijacking bestehen bleibt, wonach letzteres die SpyGlace-Backdoor („sp.dat“) ausführt. Die Backdoor stellt ihrerseits Kontakt zu einem Command-and-Control-Server („103.187.26[.]176“) her und wartet auf weitere Anweisungen, die es ihr ermöglichen, Dateien zu stehlen, zusätzliche Plugins zu laden und Befehle auszuführen.

Es ist bemerkenswert, dass die Cybersicherheitsunternehmen Chuangyu 404 Lab und Positive Technologies unabhängig voneinander über identische Kampagnen zur Verbreitung der SpyGlace-Malware berichtet haben. Dabei wurde auch auf Beweise hingewiesen, die darauf hindeuten, dass APT-C-60 und APT-Q-12 (auch bekannt als Pseudo Hunter) Untergruppen innerhalb des DarkHotel-Clusters sind. „Gruppen aus der asiatischen Region verwenden weiterhin unkonventionelle Techniken, um ihre Malware auf die Geräte der Opfer zu übertragen“, sagte Positive Technologies. „Eine dieser Techniken ist die Verwendung virtueller Festplatten im VHD-/VHDX-Format, um die Schutzmechanismen des Betriebssystems zu umgehen.“