与韩国结盟的网络间谍活动与零日利用金山 WPS Office 中现已修补的关键远程代码执行漏洞以部署名为 SpyGlace 的定制后门有关。据网络安全公司 ESET 和 DBAPPSecurity 称,该活动被归因于一个名为 APT-C-60 的威胁行为者。已发现这些攻击会用恶意软件感染中国和东亚用户。有问题的安全漏洞是 CVE-2024-7262(CVSS 分数:9.3),这是由于缺乏对用户提供的文件路径的正确验证。这个漏洞本质上允许对手上传任意 Windows 库并实现远程代码执行。ESET 表示,该错误“允许通过劫持 WPS Office 插件组件的控制流来执行代码promecefpluginhost.exe”,并补充说它找到了另一种实现相同效果的方法。第二个漏洞被跟踪为 CVE-2024-7263 (CVSS 评分:9.3)。APT-C-60 构思的攻击将漏洞武器化为一键式漏洞利用,该漏洞采用 2024 年 2 月上传到 VirusTotal 的诱杀电子表格文档的形式。具体来说,该文件嵌入了一个恶意链接,单击该链接时,会触发多阶段感染序列以传递 SpyGlace 木马,这是一个名为 TaskControler.dll 的 DLL 文件,具有文件窃取、插件加载和命令执行功能。“漏洞利用开发人员在电子表格中嵌入了电子表格行和列的图片,以欺骗并说服用户该文档是常规电子表格,”安全研究员 Romain Dumont 说。“恶意超链接链接到图像,因此单击图片中的单元格会触发漏洞利用。”据总部位于北京的网络安全供应商 ThreatBook 称,APT-C-60 据信自 2021 年以来一直活跃,早在 2022 年 6 月就在野外检测到 SpyGlace。Dumont 说:“无论该组织是开发还是购买了 CVE-2024-7262 漏洞,它肯定需要对应用程序的内部进行一些研究,但也需要了解 Windows 加载过程的行为方式。“这个漏洞很狡猾,因为它具有足够的欺骗性,可以诱骗任何用户点击看起来合法的电子表格,同时也非常有效和可靠。MHTML 文件格式的选择使攻击者能够将代码执行漏洞转化为远程漏洞。这家斯洛伐克网络安全公司指出,名为 ScreenShareOTR(或 ss-otr)的 Pidgin 消息传递应用程序的恶意第三方插件包含负责从命令和控制 (C&C) 服务器下载下一阶段二进制文件的代码,最终导致部署 DarkGate 恶意软件。“正如宣传的那样,该插件的功能包括使用安全的不记录消息 (OTR) 协议的屏幕共享。但是,除此之外,该插件还包含恶意代码,“ESET 说。“具体来说,某些版本的 pidgin-screenshare.dll 可以从 C&C 服务器下载并执行 PowerShell 脚本。”该插件还包含键盘记录器和屏幕截图捕获功能,此后已从第三方插件列表中删除。建议已安装该插件的用户立即将其删除。此后,ESET 发现,在一个名为 Cradle 的应用程序(“cradle[.]im“) 的 Git,它声称是 Signal 消息应用程序的开源分支。该应用程序从 2023 年 9 月起可供下载近一年。恶意代码通过运行一个PowerShell脚本下载,该脚本随后获取并执行一个编译后的AutoIt脚本,最终安装DarkGate。Cradle的Linux版本则传送一个ELF可执行文件,该文件下载并执行shell命令,并将结果发送到远程服务器。另一个常见的指示迹象是,插件安装程序和Cradle应用程序都使用了一个有效的数字证书进行签名,该证书颁发给了名为“INTERREX – SP. Z O.O.”的一家波兰公司,这表明犯罪者正在使用不同的方法来传播恶意软件。
