Tehdit aktörü olarak bilinen APT-C-60 SpyGlace arka kapısını sunmak için iş uygulaması temalı bir yem kullanan, Japonya’daki isimsiz bir kuruluşu hedef alan bir siber saldırıyla bağlantılı olduğu ortaya çıktı.
JPCERT/CC’nin bulgularına göre bu, izinsiz girişin Google Drive, Bitbucket ve StatCounter gibi meşru hizmetlerden yararlandığını söyledi. Saldırı Ağustos 2024 civarında gerçekleştirildi.
Ajans, “Bu saldırıda, kuruluşun işe alım sorumlusuna potansiyel bir çalışandan geldiği iddia edilen bir e-posta gönderildi ve bu e-posta, bu kişiye kötü amaçlı yazılım bulaştırdı” dedi.
APT-C-60, Doğu Asya ülkelerini hedef aldığı bilinen Güney Kore bağlantılı bir siber casusluk grubuna verilen isimdir. Ağustos 2024’te, WPS Office for Windows’taki (CVE-2024-7262) bir uzaktan kod yürütme güvenlik açığından yararlanılarak SpyGlace adı verilen özel bir arka kapının açıldığı gözlemlendi.
JPCERT/CC tarafından keşfedilen saldırı zinciri, Google Drive’da barındırılan bir dosyaya bağlantı içeren bir kimlik avı e-postasının, indirilip bağlandığında sahte bir belge ve bir sanal sabit disk sürücüsü (VHDX) dosyasının kullanımını içerir. Windows kısayolu (“Kendi Kendine Giriş.lnk”).
LNK dosyası, enfeksiyon zincirindeki sonraki adımları tetiklemekten ve aynı zamanda yem belgesini dikkat dağıtıcı olarak görüntülemekten sorumludur.
Bu, “SecureBootUEFI.dat” adında bir indirici/damlalık yükünün başlatılmasını gerektirir; bu da, HTTP yönlendirme alanını kullanarak bir kurban cihazını benzersiz şekilde tanımlayabilen bir dize iletmek için meşru bir web analizi aracı olan StatCounter’ı kullanır. Dize değeri bilgisayar adından, ana dizinden ve kullanıcı adından türetilir ve kodlanır.
İndirici daha sonra, bir sonraki aşamayı almak için kodlanmış benzersiz dizeyi kullanarak Bitbucket’e erişir; bu, farklı bir Bitbucket deposundan iki eser daha indiren “Service.dat” olarak bilinen bir dosyadır – “cbmp.txt” ve “icon.txt” – sırasıyla “cn.dat” ve “sp.dat” olarak kaydedilirler.
“Service.dat” ayrıca COM ele geçirme adı verilen bir teknik kullanarak ele geçirilen ana bilgisayarda “cn.dat” ifadesini sürdürür ve ardından ikincisi SpyGlace arka kapısını (“sp.dat”) çalıştırır.
Arka kapı ise bir komuta ve kontrol sunucusuyla iletişim kurar (“103.187.26″)[.]176”) ve dosyaları çalmasına, ek eklentiler yüklemesine ve komutları çalıştırmasına izin verecek daha fazla talimat bekliyor.
Siber güvenlik firmaları Chuangyu 404 Lab ve Positive Technologies’in, SpyGlace kötü amaçlı yazılımını dağıtan aynı kampanyaları bağımsız olarak rapor ettiğini, bunun yanı sıra APT-C-60 ve APT-Q-12’nin (aka Pseudo Hunter) alt gruplar olduğunu gösteren kanıtları vurguladığını belirtmekte fayda var. Karanlık Otel kümesi.
Positive Technologies, “Asya bölgesindeki gruplar, kötü amaçlı yazılımlarını kurbanların cihazlarına dağıtmak için standart dışı teknikler kullanmaya devam ediyor” dedi. “Bu tekniklerden biri, işletim sisteminin koruyucu mekanizmalarını atlatmak için VHD/VHDX formatındaki sanal disklerin kullanılmasıdır.”