Grupul de spionaj cibernetic APT-C-60, aliniat Coreei de Sud, a exploatat o vulnerabilitate de execuție de cod zero-day în versiunea Windows a WPS Office pentru a instala backdoor-ul SpyGlace pe ținte din Asia de Est.
WPS Office este o suită de productivitate dezvoltată de firma chineză Kingsoft care este populară în Asia. Se pare că are peste 500 de milioane de utilizatori activi la nivel mondial.
Defectul zero-day, identificat ca CVE-2024-7262, a fost exploatat în atacuri în sălbăticie începând cel puțin la sfârșitul lunii februarie 2024, dar afectează versiunile de la 12.2.0.13110 (august 2023) la 12.1.0.16412 (martie 2024).
Kingsoft a „rezolvat” în tăcere problema în luna martie a acestui an fără a informa clienții că vulnerabilitatea era exploatată activ, determinând ESET, care a descoperit campania și vulnerabilitatea, să publice un raport detaliat astăzi.
În plus față de CVE-2024-7262, investigația ESET a scos la iveală o a doua vulnerabilitate gravă, identificată ca CVE-2024-7263, pe care Kingsoft a rezolvat-o la sfârșitul lunii mai 2024 cu versiunea 12.2.0.17119.
CVE-2024-7262 rezidă în modul în care software-ul gestionează protocoalele personalizate, în special „ksoqing://,” care permite executarea aplicațiilor externe prin URL-uri special create în documente.
Datorită validării și igienizării necorespunzătoare a acestor URL-uri, vulnerabilitatea permite atacatorilor să creeze hyperlink-uri maligne care duc la execuția de cod arbitrar.
APT-C-60 a creat documente de foi de calcul (fișiere MHTML) în care au încorporat hyperlink-uri maligne ascunse sub o imagine decoy pentru a păcăli victima să le acceseze, declanșând exploit-ul.
Parametrii URL-ului procesat includ o comandă codificată în base64 pentru a executa un plugin specific (promecefpluginhost.exe) care încearcă să încarce un DLL malign (ksojscore.dll) care conține codul atacatorului.
Acest DLL este componenta de descărcare a lui APT-C-60, proiectată pentru a prelua payload-ul final (TaskControler.dll) de pe serverul atacatorului, un backdoor personalizat numit „SpyGlace.”
SpyGlace este un backdoor analizat anterior de Threatbook când APT-C-60 l-a folosit în atacuri asupra organizațiilor de resurse umane și comerciale.
În timp ce investigau atacurile APT-C-60, cercetătorii ESET au descoperit CVE-2024-7263, o a doua vulnerabilitate de execuție de cod arbitrar care afectează WPS Office, apărută ca o soluție parțială a CVE-2024-7262.
Mai exact, încercarea inițială a lui Kingsoft de a rezolva problema a adăugat validare pe anumiți parametri. Cu toate acestea, unii, cum ar fi „CefPluginPathU8,” nu erau încă suficient securizați, permițând atacatorilor să indice către căile DLL-urilor maligne prin promecefpluginhost.exe din nou.
ESET explică că această vulnerabilitate poate fi exploatată local sau printr-o partajare de rețea, unde DLL-ul malign ar putea fi găzduit.
Cu toate acestea, cercetătorii nu au observat APT-C-60 sau alte entități care să exploateze vulnerabilitatea în sălbăticie. Cu toate acestea, dat fiind suficient timp, nu este exclus ca aceștia să fi descoperit lacuna de securitate lăsată de patch-ul defectuos al lui Kingsoft.
Utilizatorilor WPS Office li se recomandă să treacă la cea mai recentă versiune în cel mai scurt timp posibil, sau cel puțin la 12.2.0.17119, pentru a rezolva ambele vulnerabilități de execuție de cod.
„Exploatarea este iscusită deoarece este suficient de înșelătoare pentru a păcăli orice utilizator să facă clic pe o foaie de calcul care pare legitimă, dar și foarte eficientă și fiabilă,” avertizează ESET în raport.
„Alegerea formatului de fișier MHTML le-a permis atacatorilor să transforme o vulnerabilitate de execuție de cod într-una la distanță.”
Verificați acest depozit GitHub pentru o listă completă de indicatori de compromis (IoCs) asociată cu activitatea APT-C-60.
Hackerii chinezi de la Volt Typhoon au exploatat zero-day-ul Versa pentru a sparge ISP-uri, MSP-uri
Google etichetează al zecelea zero-day Chrome ca fiind exploatat în acest an
Google rezolvă al nouălea zero-day Chrome etichetat ca fiind exploatat în acest an
CISA avertizează că vulnerabilitatea critică de RCE SolarWinds este exploatată în atacuri
Noua evaziune a ecranului inteligent Windows exploatată ca zero-day din martie
Leave a Reply