مجموعة APT-C-60 تستغل ثغرة WPS Office لنشر SpyGlace Backdoor
تم ربط عملية تجسس إلكترونية متحالفة مع كوريا الجنوبية بالاستغلال الفوري لثغرة خطيرة في تنفيذ التعليمات البرمجية عن بعد والتي تم تصحيحها الآن في Kingsoft WPS Office لنشر باب خلفي مخصص يطلق عليه SpyGlace.
يُنسب هذا النشاط إلى ممثل تهديد يُدعى أبت-سي-60وفقًا لشركتي الأمن السيبراني ESET وDBAPPSecurity. لقد كانت الهجمات وجد لإصابة المستخدمين الصينيين وشرق آسيا بالبرامج الضارة.
الخلل الأمني المعني هو CVE-2024-7262 (درجة CVSS: 9.3)، والتي تنبع من عدم التحقق المناسب من مسارات الملفات المقدمة من قبل المستخدم. تسمح هذه الثغرة بشكل أساسي للخصم بتحميل مكتبة Windows عشوائية وتنفيذ التعليمات البرمجية عن بعد.
الخطأ “يسمح بتنفيذ التعليمات البرمجية عبر اختطاف تدفق التحكم في مكون البرنامج الإضافي WPS Office promecefpluginhost.exe،” ESET قالمضيفًا أنه وجد طريقة أخرى لتحقيق نفس التأثير. يتم تتبع الثغرة الأمنية الثانية على أنها CVE-2024-7263 (درجة CVSS: 9.3).
يعمل الهجوم الذي صممته APT-C-60 على تسليح الخلل من خلال استغلال نقرة واحدة يأخذ شكل مستند جدول بيانات مفخخ تم تحميله إلى VirusTotal في فبراير 2024.
على وجه التحديد، يأتي الملف مضمنًا مع رابط ضار، عند النقر عليه، يؤدي إلى تشغيل تسلسل عدوى متعدد المراحل لتسليم حصان طروادة SpyGlace، وهو ملف DLL يسمى TaskControler.dll يأتي مزودًا بقدرات سرقة الملفات وتحميل المكونات الإضافية وتنفيذ الأوامر.
وقال الباحث الأمني رومان دومونت: “قام مطورو البرامج المستغلة بتضمين صورة لصفوف وأعمدة جدول البيانات داخل جدول البيانات من أجل خداع المستخدم وإقناعه بأن المستند عبارة عن جدول بيانات عادي”. “تم ربط الارتباط التشعبي الخبيث بالصورة بحيث يؤدي النقر فوق خلية في الصورة إلى تشغيل الاستغلال.”
ايه بي تي-سي-60 يعتقد ليكون نشطًا منذ عام 2021، مع SpyGlace مُكتَشَف في البرية منذ يونيو 2022، وفقًا لشركة ThreatBook للأمن السيبراني ومقرها بكين.
وقال دومونت: “سواء قامت المجموعة بتطوير أو شراء برمجية استغلال لـ CVE-2024-7262، فمن المؤكد أن الأمر يتطلب بعض البحث في الأجزاء الداخلية للتطبيق ولكن أيضًا معرفة كيفية عمل عملية تحميل Windows”.
“إن هذا الاستغلال ماكر لأنه خادع بدرجة كافية لخداع أي مستخدم للنقر على جدول بيانات يبدو شرعيًا بينما يكون أيضًا فعالًا وموثوقًا للغاية. وقد سمح اختيار تنسيق ملف MHTML للمهاجمين بتحويل ثغرة أمنية في تنفيذ التعليمات البرمجية إلى ثغرة بعيدة “.
يأتي هذا الكشف في الوقت الذي لاحظت فيه شركة الأمن السيبراني السلوفاكية أنه تم العثور على مكون إضافي ضار تابع لجهة خارجية لتطبيق مراسلة Pidgin يُسمى ScreenShareOTR (أو ss-otr) يحتوي على تعليمات برمجية مسؤولة عن تنزيل ثنائيات المرحلة التالية من أمر وتحكم ( C&C)، مما أدى في النهاية إلى نشر برنامج DarkGate الضار.
“تتضمن وظيفة المكون الإضافي، كما تم الإعلان عنها، مشاركة الشاشة التي تستخدم بروتوكول المراسلة الآمنة غير القابلة للسجل (OTR). ومع ذلك، بالإضافة إلى ذلك، يحتوي المكون الإضافي على تعليمات برمجية ضارة،” ESET قال. “على وجه التحديد، يمكن لبعض إصدارات pidgin-screenshare.dll تنزيل وتنفيذ برنامج PowerShell النصي من خادم C&C.”
تمت إزالة المكون الإضافي، الذي يحتوي أيضًا على ميزات تسجيل لوحة المفاتيح ولقطة الشاشة، من قائمة المكونات الإضافية لجهات خارجية. يُنصح المستخدمون الذين قاموا بتثبيت البرنامج الإضافي بإزالته على الفور.
إرسال التعليق