Eine mit Südkorea verbundene Cyber-Spionage wurde mit der Zero-Day-Ausnutzung einer nun gepatchten kritischen Schwachstelle für die Remote-Code-Ausführung in Kingsoft WPS Office in Verbindung gebracht, um eine maßgeschneiderte Backdoor namens SpyGlace zu implementieren.
Die Aktivität wurde einem Bedrohungsakteur zugeschrieben, der laut den Cybersicherheitsfirmen ESET und DBAPPSecurity APT-C-60 genannt wird. Es wurde festgestellt, dass die Angriffe chinesische und ostasiatische Benutzer mit Malware infizieren.
Die fragliche Sicherheitslücke ist CVE-2024-7262 (CVSS-Score: 9.3), die aus einem Mangel an ordnungsgemäßer Validierung von vom Benutzer bereitgestellten Dateipfaden resultiert. Diese Sicherheitslücke ermöglicht es einem Angreifer im Wesentlichen, eine beliebige Windows-Bibliothek hochzuladen und Remote-Code-Ausführung zu erreichen.
Der Fehler „erlaubt die Codeausführung durch das Kapern des Kontrollflusses der WPS Office-Plugin-Komponente promecefpluginhost.exe“, sagte ESET und fügte hinzu, dass es einen weiteren Weg gefunden habe, den gleichen Effekt zu erzielen. Die zweite Sicherheitslücke wird als CVE-2024-7263 (CVSS-Score: 9.3) verfolgt.
Der von APT-C-60 konzipierte Angriff nutzt die Schwachstelle für einen One-Click-Exploit, der die Form eines mit einer Falle versehenen Tabellenkalkulationsdokuments hat, das im Februar 2024 auf VirusTotal hochgeladen wurde.
Konkret ist die Datei mit einem bösartigen Link eingebettet, der beim Klicken eine mehrstufige Infektionssequenz auslöst, um den SpyGlace-Trojaner zu liefern, eine DLL-Datei namens TaskControler.dll, die über Funktionen zum Stehlen von Dateien, Laden von Plugins und Ausführen von Befehlen verfügt.
„Die Exploit-Entwickler haben ein Bild der Zeilen und Spalten der Tabellenkalkulation in die Tabellenkalkulation eingebettet, um den Benutzer zu täuschen und zu überzeugen, dass das Dokument eine normale Tabellenkalkulation ist“, sagte Sicherheitsforscher Romain Dumont. „Der bösartige Hyperlink war mit dem Bild verknüpft, sodass ein Klick auf eine Zelle im Bild den Exploit auslösen würde.“
APT-C-60 soll seit 2021 aktiv sein, wobei SpyGlace laut dem in Peking ansässigen Cybersicherheitsanbieter ThreatBook bereits im Juni 2022 in freier Wildbahn entdeckt wurde.
„Ob die Gruppe den Exploit für CVE-2024-7262 entwickelt oder gekauft hat, es erforderte auf jeden Fall einige Recherchen zu den Interna der Anwendung, aber auch Kenntnisse darüber, wie der Windows-Ladevorgang funktioniert“, sagte Dumont.
„Der Exploit ist gerissen, da er täuschend genug ist, um jeden Benutzer dazu zu bringen, auf eine seriös aussehende Tabellenkalkulation zu klicken, und gleichzeitig sehr effektiv und zuverlässig ist. Die Wahl des MHTML-Dateiformats ermöglichte es den Angreifern, eine Schwachstelle für die Codeausführung in eine Remote-Schwachstelle zu verwandeln.“
Die Offenlegung erfolgt, da das slowakische Cybersicherheitsunternehmen feststellte, dass ein bösartiges Drittanbieter-Plugin für die Pidgin-Messaging-Anwendung namens ScreenShareOTR (oder ss-otr) Code enthält, der für das Herunterladen von Binärdateien der nächsten Stufe von einem Command-and-Control-Server (C&C) verantwortlich ist, was letztendlich zur Bereitstellung der DarkGate-Malware führt.
„Die Funktionalität des Plugins, wie beworben, umfasst Bildschirmfreigabe, die das sichere Off-the-Record-Messaging-Protokoll (OTR) verwendet. Zusätzlich dazu enthält das Plugin jedoch bösartigen Code“, sagte ESET. „Konkret können einige Versionen von pidgin-screenshare.dll ein PowerShell-Skript vom C&C-Server herunterladen und ausführen.“
Das Plugin, das auch Keylogger- und Screenshot-Erfassungsfunktionen enthält, wurde inzwischen von der Liste der Drittanbieter-Plugins entfernt. Benutzern, die das Plugin installiert haben, wird empfohlen, es sofort zu entfernen.
