Οι hackers APT-C-60 έχουν συνδεθεί με μια επίθεση σε ιαπωνικό οργανισμό, κατά τη διάρκεια της οποίας χρησιμοποιήθηκε ως δόλωμα μια υποτιθέμενη αίτηση εργασίας που στόχευε στην παράδοση του SpyGlace backdoor. Η επίθεση ερευνήθηκε από το JPCERT/CC, που ανέφερε ότι η εισβολή αξιοποίησε νόμιμες υπηρεσίες όπως το Google Drive, το Bitbucket και το StatCounter. Η επίθεση πραγματοποιήθηκε γύρω στον Αύγουστο του 2024.
“Σε αυτήν την επίθεση, ένα email που υποτίθεται ότι προερχόταν από έναν υποψήφιο υπάλληλο εστάλη στο τμήμα πρόσληψης προσωπικού του οργανισμού, μολύνοντας τη συσκευή του υπαλλήλου με κακόβουλο λογισμικό“, ανέφερε η υπηρεσία.
Δείτε επίσης: Χάκερ χρησιμοποιούν typosquatting για να εισάγουν SSH backdoors
Οι hackers APT-C-60 είναι μια ομάδα κυβερνοκατασκοπείας που συνδέεται με τη Νότια Κορέα και συνήθως στοχεύει χώρες της Ανατολικής Ασίας. Τον Αύγουστο του 2024, η ομάδα άρχισε να εκμεταλλεύεται μια ευπάθεια στο WPS Office για Windows που επέτρεπε απομακρυσμένη εκτέλεση κώδικα (CVE-2024-7262). Στόχος ήταν η εγκατάσταση του SpyGlace backdoor στα συστήματα των θυμάτων.
Bot χρησιμοποιούν scalping και εξαντλούν τα δημοφιλή δώρα
Perseverance: Μελετά τους αρχαιότερους βράχους στον Άρη
Μυστήρια drones στο New Jersey: Τι λέει το Πεντάγωνο;
Η αλυσίδα επίθεσης που ανακαλύφθηκε από το JPCERT/CC περιλαμβάνει τη χρήση ενός phishing email, που περιέχει έναν σύνδεσμο προς ένα αρχείο που φιλοξενείται στο Google Drive. Πρόκειται για ένα virtual hard disk drive (VHDX) file, το οποίο περιλαμβάνει ένα έγγραφο δόλωμα και ένα Windows shortcut (“Self-Introduction.lnk”).
Το αρχείο LNK είναι υπεύθυνο για την ενεργοποίηση των επόμενων βημάτων μόλυνσης, ενώ επίσης εμφανίζει το έγγραφο δόλωμα για να αποσπάσει την προσοχή του θύματος. Ένα από τα επόμενα βήματα είναι η εκκίνηση ενός downloader/dropper payload με το όνομα “SecureBootUEFI.dat“, το οποίο, με τη σειρά του, χρησιμοποιεί το νόμιμο εργαλείο StatCounter, για τη μετάδοση μιας συμβολοσειράς που μπορεί να αναγνωρίσει τη συσκευή του θύματος χρησιμοποιώντας το HTTP referer field. Το string value προέρχεται από το όνομα του υπολογιστή, το home directory και το όνομα χρήστη.
Δείτε επίσης: Οι hackers Salt Typhoon στοχεύουν τηλεπικοινωνίες με το GhostSpider backdoor
Στη συνέχεια, το downloader αποκτά πρόσβαση στο Bitbucket χρησιμοποιώντας την κωδικοποιημένη μοναδική συμβολοσειρά για να ανακτήσει το επόμενο στάδιο, ένα αρχείο γνωστό ως “Service.dat“, το οποίο πραγματοποιεί λήψη δύο ακόμη artifacts από διαφορετικό Bitbucket repository. Αυτά τα artifacts είναι τα “cbmp.txt” και “icon.txt”, τα οποία αποθηκεύονται ως “cn.dat” και “sp.dat”, αντίστοιχα.
Το “Service.dat” διατηρεί επίσης το “cn.dat” στον παραβιασμένο κεντρικό υπολογιστή, χρησιμοποιώντας την τεχνική COM hijacking, μετά την οποία το τελευταίο εκτελεί το SpyGlace backdoor (“sp.dat”).
Το backdoor επικοινωνεί με έναν διακομιστή εντολών και ελέγχου (“103.187.26[.]176”) και αναμένει περαιτέρω οδηγίες για κλοπή αρχείων, φόρτωση πρόσθετων κακόβουλων payloads και εκτέλεση εντολών.
Προστασία από backdoor
Οι οργανισμοί μπορούν να προστατεύσουν τα δίκτυά τους από το SpyGlace backdoor, εφαρμόζοντας διάφορες στρατηγικές ασφάλειας. Καταρχάς, είναι σημαντικό να διατηρούν τα συστήματά τους ενημερωμένα. Αυτό σημαίνει ότι θα πρέπει να εγκαθιστούν τακτικά τις τελευταίες ενημερώσεις και διορθώσεις ασφαλείας σε όλα τα λειτουργικά συστήματα και τις εφαρμογές.
Επιπλέον, οι οργανισμοί πρέπει να χρησιμοποιούν λύσεις ασφάλειας που περιλαμβάνουν την ανίχνευση εισβολών και την προστασία από κακόβουλο λογισμικό. Αυτές οι λύσεις μπορούν να βοηθήσουν στην ανίχνευση και την αποτροπή των επιθέσεων.
Δείτε επίσης: WolfsBane: Νέο Linux backdoor χρησιμοποιείται από τους Κινέζους hackers Gelsemium
Η εκπαίδευση του προσωπικού είναι επίσης κρίσιμη για την αποφυγή του SpyGlace backdoor. Οι εργαζόμενοι πρέπει να γνωρίζουν τους κινδύνους που συνδέονται με την κυβερνοασφάλεια και τις τακτικές που χρησιμοποιούν οι επιτιθέμενοι, όπως το phishing.
Τέλος, πρέπει να εφαρμόζεται η αρχή της ελάχιστης πρόσβασης. Αυτό σημαίνει ότι οι χρήστες και οι συσκευές πρέπει να έχουν μόνο τις απαραίτητες άδειες πρόσβασης που χρειάζονται για την εκτέλεση των καθηκόντων τους.
Πηγή: thehackernews.com