Malware SpyGlace explora serviços legítimos para espionagem cibernética

APT-C-60: Campanha de Malware SpyGlace Explora Serviços Legítimos para Espionagem Cibernética

A ameaça cibernética conhecida como APT-C-60 foi associada a um ataque direcionado contra uma organização no Japão, utilizando um tema de “candidatura de emprego” como isca para entregar o backdoor SpyGlace. A campanha detectada pelo JPCERT/CC, destacou-se por explorar serviços legítimos como Google Drive, Bitbucket e StatCounter para conduzir suas atividades maliciosas.

 

Como o ataque foi realizado

O ataque ocorreu em agosto de 2024, quando o grupo enviou um e-mail de phishing para o contato de recrutamento da organização. A mensagem fingia ser de um candidato interessado em uma vaga de emprego. A corrente de ataque envolveu as seguintes etapas:

 

  • Phishing inicial: O e-mail continha um link para um arquivo hospedado no Google Drive. Este arquivo era um disco rígido virtual no formato VHDX, que incluía um documento de isca e um atalho do Windows chamado “Self-Introduction.lnk”.
  • Execução do atalho (LNK): Ao abrir o atalho, a vítima era distraída pelo documento enquanto outros processos maliciosos eram executados em segundo plano.
  • Downloader inicial: Um arquivo chamado “SecureBootUEFI.dat” era ativado para iniciar o download de outros componentes. Ele utilizava o StatCounter para enviar informações sobre o dispositivo da vítima, como nome do computador, diretório principal e nome de usuário, codificados para identificação.
  • Conexão com Bitbucket: Com as informações coletadas, o downloader acessava um repositório no Bitbucket para baixar o próximo estágio, um arquivo chamado “Service.dat”. Este arquivo buscava mais dois artefatos, “cbmp.txt” e “icon.txt”, que eram renomeados como “cn.dat” e “sp.dat” e armazenados no dispositivo.
  • Persistência e execução do SpyGlace: O “Service.dat” utilizava uma técnica chamada COM hijacking para garantir que “cn.dat” permanecesse no dispositivo. Este, por sua vez, executava o backdoor SpyGlace (“sp.dat”).

 

SpyGlace Backdoor

 

O papel do backdoor SpyGlace

Uma vez ativo, o SpyGlace estabelecia comunicação com um servidor de comando e controle (C2), permitindo que os atacantes:

  • Roubassem arquivos sensíveis;
  • Carregassem plugins adicionais;
  • Executassem comandos remotamente.

O servidor C2 identificado estava localizado no endereço 103.187.26[.]176, de onde os atacantes enviavam instruções para o backdoor.

 

Atribuição do Ataque: APT-C-60 e conexões com DarkHotel

O grupo APT-C-60, alinhado à Coreia do Sul, tem histórico de realizar espionagem cibernética em países do Leste Asiático. Nesta campanha, o grupo explorou uma vulnerabilidade de execução remota de código no WPS Office para Windows (CVE-2024-7262) para implantar o SpyGlace.

Pesquisas independentes das empresas Chuangyu 404 Lab e Positive Technologies apontam que o APT-C-60 pode estar relacionado ao APT-Q-12 (também conhecido como Pseudo Hunter), ambos subgrupos do cluster DarkHotel. Essa conexão reforça o foco do grupo em técnicas avançadas para atingir suas vítimas.

 

Uso de discos virtuais para evadir detecção

Uma técnica notável empregada nesta campanha foi o uso de discos virtuais em formatos VHD/VHDX para contornar os mecanismos de segurança dos sistemas operacionais. Essa abordagem ajuda a mascarar o malware, dificultando sua detecção por softwares antivírus e outras ferramentas de segurança.

 

SpyGlace Backdoor

 

Como se proteger contra APT-C-60 e malware semelhantes

Os ataques realizados por grupos como o APT-C-60 destacam a necessidade de medidas de segurança robustas para organizações e indivíduos. Aqui estão algumas recomendações para minimizar os riscos:

  • Educação contra phishing: Treine equipes para reconhecer e-mails suspeitos, especialmente aqueles com links ou anexos inesperados.
  • Proteção avançada: Utilize soluções de EDR (Endpoint Detection and Response) que podem identificar comportamentos anômalos, como o uso de discos virtuais ou scripts maliciosos.
  • Atualização de software: Mantenha seus sistemas operacionais e softwares atualizados para mitigar vulnerabilidades conhecidas, como a CVE-2024-7262.
  • Segmentação de rede: Limite o acesso entre diferentes partes da rede para conter possíveis invasões.
  • Monitoramento de repositórios legítimos: Estabeleça regras para monitorar e bloquear acessos não autorizados a serviços como Bitbucket e Google Drive, frequentemente explorados por cibercriminosos.
  • Logs e auditorias regulares: Analise registros de acesso e atividades na rede para identificar comportamentos suspeitos.

 

Conclusão

A campanha de malware SpyGlace é mais um exemplo da sofisticação crescente dos grupos de espionagem cibernética. Ao explorar serviços legítimos e técnicas avançadas como discos virtuais, o APT-C-60 demonstrou sua capacidade de burlar medidas de segurança tradicionais.

Organizações em todo o mundo devem permanecer vigilantes, adotando tecnologias avançadas de segurança e promovendo conscientização para proteger seus ativos contra ataques como esses. A batalha contra cibercriminosos exige preparação constante e adaptação às novas táticas.

 

Fonte e imagens: https://thehackernews.com/2024/11/apt-c-60-exploits-wps-office.html