Güney Kore bağlantılı bir siber casusluk örgütünün, Kingsoft WPS Office’teki artık düzeltilmiş kritik bir uzaktan kod yürütme açığının sıfır gün istismarı yoluyla SpyGlace adı verilen özel bir arka kapı dağıtmasıyla bağlantılı olduğu ortaya çıktı.
Bu faaliyet, şu adla anılan bir tehdit aktörüne atfedildi: APT-C-60Siber güvenlik şirketleri ESET ve DBAPPSecurity’ye göre. Saldırıların Çinli ve Doğu Asyalı kullanıcıları kötü amaçlı yazılımlarla enfekte ettiği bulundu.
Söz konusu güvenlik açığı, kullanıcı tarafından sağlanan dosya yollarının uygun şekilde doğrulanmamasından kaynaklanan CVE-2024-7262’dir (CVSS puanı: 9.3). Bu açık, esasen bir saldırganın keyfi bir Windows kitaplığı yüklemesine ve uzaktan kod yürütmesine olanak tanır.
ESET, hatanın “WPS Office eklenti bileşeni promecefpluginhost.exe’nin kontrol akışını ele geçirerek kod yürütülmesine izin verdiğini” söyledi ve aynı etkiyi elde etmenin başka bir yolunu bulduğunu ekledi. İkinci güvenlik açığı CVE-2024-7263 (CVSS puanı: 9.3) olarak izleniyor.
APT-C-60 tarafından tasarlanan saldırı, açığı tek tıklamayla kullanılabilen bir istismara dönüştürüyor ve Şubat 2024’te VirusTotal’e yüklenen tuzaklı bir elektronik tablo belgesi biçimini alıyor.
Dosya, tıklandığında SpyGlace trojanını iletmek için çok aşamalı bir enfeksiyon dizisini tetikleyen kötü amaçlı bir bağlantıyla birlikte geliyor. Bu DLL dosyası, dosya çalma, eklenti yükleme ve komut yürütme yetenekleriyle birlikte gelen TaskControler.dll adlı bir DLL dosyasıdır.
Güvenlik araştırmacısı Romain Dumont, “Saldırıyı geliştirenler, kullanıcıyı belgenin normal bir elektronik tablo olduğuna inandırmak ve aldatmak için elektronik tablonun satır ve sütunlarının bir resmini elektronik tablonun içine yerleştirdiler,” dedi. “Kötü amaçlı köprü metni, resimdeki bir hücreye tıklandığında istismarın tetiklenmesi için resme bağlandı.”
Pekin merkezli siber güvenlik sağlayıcısı ThreatBook’a göre, APT-C-60’ın 2021’den beri aktif olduğu düşünülüyor ve SpyGlace’in en erken 2022 Haziran’ında tespit edildiği belirtiliyor.
Dumont, “Grubun CVE-2024-7262 açığını geliştirip geliştirmediğine veya satın alıp almadığına bakılmaksızın, uygulamanın iç yapısı hakkında bir miktar araştırma yapılmasının yanı sıra Windows yükleme sürecinin nasıl davrandığına dair bilgi de gerekiyordu” dedi.
“Bu istismar, herhangi bir kullanıcıyı meşru görünen bir elektronik tabloya tıklamaya kandıracak kadar aldatıcı olduğu kadar çok etkili ve güvenilir olduğu için kurnazcadır. MHTML dosya biçiminin seçimi, saldırganların bir kod yürütme açığını uzaktan bir açık haline getirmesine olanak sağladı.”
Açıklama, Slovak siber güvenlik şirketinin, Pidgin mesajlaşma uygulaması için ScreenShareOTR (veya ss-otr) adlı kötü amaçlı bir üçüncü taraf eklentisinin, bir komuta ve kontrol (C&C) sunucusundan bir sonraki aşama ikili dosyalarını indirmekten sorumlu kod içerdiğini ve bunun da en sonunda DarkGate kötü amaçlı yazılımının dağıtımına yol açtığını belirtmesinin ardından geldi.
“Eklentinin reklamı yapılan işlevselliği, güvenli kayıt dışı mesajlaşma (OTR) protokolünü kullanan ekran paylaşımını içerir. Ancak, buna ek olarak, eklenti kötü amaçlı kod içerir,” dedi ESET. “Özellikle, pidgin-screenshare.dll’nin bazı sürümleri C&C sunucusundan bir PowerShell betiğini indirebilir ve çalıştırabilir.”
Keylogger ve ekran görüntüsü yakalama özelliklerini de içeren eklenti, o zamandan beri üçüncü taraf eklentiler listesinden kaldırıldı. Eklentiyi yükleyen kullanıcıların eklentiyi derhal kaldırmaları önerilir.