VietNetwork.Vn

Một hoạt động gián điệp mạng có liên quan đến Hàn Quốc được cho là có liên quan đến việc khai thác zero-day một lỗ hổng thực thi mã từ xa nghiêm trọng hiện đã được vá trong Kingsoft WPS Office để triển khai một cửa hậu riêng có tên SpyGlace.

Theo các công ty an ninh mạng ESET và DBAPPSecurity, hoạt động này được cho là do một tác nhân đe dọa có tên là APT-C-60 thực hiện. Các cuộc tấn công đã được phát hiện là lây nhiễm phần mềm độc hại cho người dùng Trung Quốc và Đông Á.


Lỗ hổng bảo mật được đề cập là CVE-2024-7262 (điểm CVSS: 9.3), xuất phát từ việc thiếu xác thực chính xác các đường dẫn tệp do người dùng cung cấp. Lỗ hổng này về cơ bản cho phép kẻ tấn công tải lên thư viện Windows tùy ý và thực thi mã từ xa.

Lỗi "cho phép thực thi mã thông qua việc chiếm quyền điều khiển luồng điều khiển của thành phần plugin WPS Office Procecefpluginhost.exe", ESET cho biết và cho biết thêm họ đã tìm ra một cách khác để đạt được hiệu quả tương tự. Lỗ hổng thứ hai được theo dõi là CVE-2024-7263 (điểm CVSS: 9,3).

Cuộc tấn công do APT-C-60 nghĩ ra đã biến lỗ hổng thành vũ khí khai thác chỉ bằng một cú nhấp chuột dưới dạng tài liệu bảng tính bị mắc bẫy đã được tải lên VirusTotal vào tháng 2 năm 2024.

Cụ thể, tệp này được nhúng một liên kết độc hại, khi nhấp vào sẽ kích hoạt chuỗi lây nhiễm nhiều giai đoạn để phát tán trojan SpyGlace, một tệp DLL có tên TaskControler.dll có khả năng đánh cắp tệp, tải plugin và thực thi lệnh.

Nhà nghiên cứu bảo mật Romain Dumont cho biết: "Các nhà phát triển khai thác đã nhúng hình ảnh các hàng và cột của bảng tính vào bên trong bảng tính để đánh lừa và thuyết phục người dùng rằng tài liệu đó là một bảng tính thông thường". "Siêu liên kết độc hại được liên kết với hình ảnh nên việc nhấp vào một ô trong ảnh sẽ kích hoạt việc khai thác."

Theo nhà cung cấp an ninh mạng ThreatBook có trụ sở tại Bắc Kinh, APT-C-60 được cho là hoạt động từ năm 2021, với SpyGlace được phát hiện trong tự nhiên từ tháng 6 năm 2022.

Dumont cho biết: "Cho dù nhóm đã phát triển hay mua lỗ hổng CVE-2024-7262 thì chắc chắn họ cũng cần một số nghiên cứu về nội bộ của ứng dụng cũng như kiến thức về cách hoạt động của quá trình tải Windows".

"Cách khai thác này rất xảo quyệt vì nó đủ lừa đảo để lừa bất kỳ người dùng nào nhấp vào một bảng tính trông có vẻ hợp pháp, đồng thời cũng rất hiệu quả và đáng tin cậy. Việc lựa chọn định dạng tệp MHTML cho phép kẻ tấn công biến lỗ hổng thực thi mã thành một lỗ hổng từ xa."

Tiết lộ này được đưa ra khi công ty an ninh mạng Slovakia lưu ý rằng plugin bên thứ ba độc hại dành cho ứng dụng nhắn tin Pidgin có tên ScreenShareOTR (hoặc ss-otr) chứa mã chịu trách nhiệm tải xuống các tệp nhị phân giai đoạn tiếp theo từ máy chủ lệnh và kiểm soát (C&C), cuối cùng dẫn đến việc triển khai phần mềm độc hại DarkGate.

ESET cho biết : "Chức năng của plugin, như được quảng cáo, bao gồm chia sẻ màn hình sử dụng giao thức nhắn tin an toàn ngoài luồng (OTR). Tuy nhiên, ngoài ra, plugin còn chứa mã độc". "Cụ thể, một số phiên bản pidgin-screenshare.dll có thể tải xuống và thực thi tập lệnh PowerShell từ máy chủ C&C."

Plugin này, cũng chứa các tính năng keylogger và chụp ảnh màn hình, đã bị xóa khỏi danh sách plugin của bên thứ ba. Người dùng đã cài đặt plugin này được khuyến cáo nên xóa ngay lập tức.

ESET kể từ đó đã phát hiện ra rằng mã cửa sau độc hại tương tự như ScreenShareOTR cũng đã được phát hiện trong một ứng dụng có tên Cradle ("cradle[.]im") được coi là một nhánh nguồn mở của ứng dụng nhắn tin Signal. Ứng dụng này đã có sẵn để tải xuống gần một năm kể từ tháng 9 năm 2023.

Mã độc được tải xuống bằng cách chạy tập lệnh PowerShell, sau đó tập lệnh này tìm nạp và thực thi tập lệnh AutoIt đã biên dịch để cài đặt DarkGate. Phiên bản Linux của Cradle cung cấp tệp thực thi ELF để tải xuống và thực thi các lệnh shell và gửi kết quả đến máy chủ từ xa.

Một dấu hiệu phổ biến khác là cả trình cài đặt plugin và ứng dụng Cradle đều được ký bằng chứng chỉ kỹ thuật số hợp lệ được cấp cho một công ty Ba Lan có tên "INTERREX - SP. Z OO", cho thấy thủ phạm đang sử dụng các phương pháp khác nhau để phát tán phần mềm độc hại.