Η ESET αποκάλυψε μια νέα εκστρατεία κυβερνοκατασκοπείας, κατά την οποία γίνεται εκμετάλλευση μιας νέας ευπάθειας του WPS Office για Windows, από Νοτιοκορεάτες hackers. Στόχος είναι η εγκατάσταση ενός custom backdoor (SpyGlace) για την παρακολούθηση του θύματος.
Η hacking ομάδα παρακολουθείται ως APT-C-60 και οι επιθέσεις της στοχεύουν θύματα στην Ανατολική Ασία με το backdoor «SpyGlace», που διαθέτει δυνατότητες κυβερνοκατασκοπείας.
Οι hackers έπεισαν τα θύματα να κάνουν κλικ σε ένα φαινομενικά νόμιμο spreadsheet WPS Office για Windows, ενεργοποιώντας την εκμετάλλευση. Το WPS Office έχει εκατοντάδες εκατομμύρια ενεργούς χρήστες παγκοσμίως, ειδικά στην Ανατολική Ασία. Το ίδιο το έγγραφο ήταν ένα MHTML export, με έναν κρυφό υπερσύνδεσμο που ενεργοποιεί την εκτέλεση ενός library, εάν γίνει κλικ κατά τη χρήση του WPS Spreadsheet app.
Δείτε επίσης: Στρατιωτικός της ADF κατηγορείται για κατασκοπεία υπέρ της Ρωσίας
Σύμφωνα με την ESET, το MHTML επιτρέπει τη λήψη ενός αρχείου μόλις ανοίξει το έγγραφο, υποστηρίζοντας έτσι το RCE.
“Για να εκμεταλλευτεί αυτή την ευπάθεια, ένας εισβολέας θα πρέπει να αποθηκεύσει μια κακόβουλη βιβλιοθήκη σε σημείο προσβάσιμο από τον στοχευμένο υπολογιστή, είτε στο σύστημα είτε σε ένα απομακρυσμένο κοινόχρηστο στοιχείο, και να γνωρίζει εκ των προτέρων τη διαδρομή του αρχείου του. Οι προγραμματιστές του exploit που στόχευαν αυτή την ευπάθεια γνώριζαν μερικά κόλπα που τους βοήθησαν να το πετύχουν“, εξήγησε ο ερευνητής της ESET, Romain Dumont.
“Κατά το άνοιγμα του spreadsheet με την εφαρμογή WPS Spreadsheet, το remote library γίνεται αυτόματα λήψη και αποθηκεύεται στο δίσκο“.
Δείτε επίσης: Microsoft: Ενημερώνει τους πελάτες ότι Ρώσοι hacker κατασκόπευαν email
Όποιος ανέπτυξε το exploit ενσωμάτωσε μια εικόνα των σειρών και των στηλών του υπολογιστικού φύλλου για να φαίνεται νόμιμο. Ο κακόβουλος υπερσύνδεσμος συνδέθηκε με την εικόνα, έτσι ώστε όταν το θύμα κάνει κλικ σε ένα υποτιθέμενο κελί να ενεργοποιεί την εκμετάλλευση.
Η ευπάθεια του WPS Office, που εκμεταλλεύτηκαν οι Νοτιοκορεάτες hackers, παρακολουθείται ως CVE-2024-7262 και επιδιορθώθηκε από τον προγραμματιστή. Ωστόσο, οι ερευνητές ανακάλυψαν ότι δεν είχε επιδιορθώσει πλήρως το πρόβλημα και βρήκαν μια επακόλουθη ευπάθεια (CVE-2024-7263) που θα μπορούσε να επιτρέψει στους hackers να επιτύχουν τα ίδια πράγματα μέσω improper input validation.
Δείτε επίσης: Κινέζοι hackers χρησιμοποιούσαν συσκευές F5 BIG-IP για κυβερνοκατασκοπεία
Η ESET ισχυρίστηκε ότι η DBAPPSecurity με έδρα την Κίνα έχει δημοσιεύσει μια ανάλυση της ευπάθειας και κατέληξε στο συμπέρασμα ότι οι hackers APT-C-60 την εκμεταλλεύτηκαν για να παραδώσουν malware σε χρήστες στην Κίνα.
Καθώς η συχνότητα και η πολυπλοκότητα των επιθέσεων στον κυβερνοχώρο συνεχίζουν να αυξάνονται, η ασφάλεια των δικτύων και των συστημάτων έχει γίνει κορυφαία προτεραιότητα για οργανισμούς σε όλους τους κλάδους. Δεν αρκεί πλέον να βασίζεστε σε παραδοσιακά μέτρα ασφαλείας, όπως τείχη προστασίας και λογισμικό προστασίας από ιούς. Οι προηγμένες απειλές όπως αυτή που ανακάλυψε η ESET υπογραμμίζουν την ανάγκη για ολοκληρωμένες στρατηγικές ασφάλειας που περιλαμβάνουν προληπτική αναζήτηση απειλών, τακτικούς ελέγχους ασφαλείας και εκπαίδευση των εργαζομένων σχετικά με ασφαλείς πρακτικές υπολογιστών.
Εκτός από τις τεχνικές λύσεις, οι οργανισμοί πρέπει επίσης να είναι προετοιμασμένοι με ένα σχέδιο αντιμετώπισης περιστατικών σε περίπτωση επιτυχούς επίθεσης. Αυτό το σχέδιο θα πρέπει να περιγράφει τα βήματα για τον περιορισμό, την εξάλειψη και την ανάκαμψη από μια κυβερνοεπίθεση. Η τακτική δοκιμή και ενημέρωση αυτού του σχεδίου είναι απαραίτητη για τη διασφάλιση της αποτελεσματικότητάς του έναντι των εξελισσόμενων απειλών.
Επιπλέον, η συνεργασία μεταξύ ομάδων ασφαλείας και οργανισμών πληροφοριών είναι ζωτικής σημασίας για τον εντοπισμό και την άμυνα έναντι εκστρατειών κυβερνοκατασκοπείας όπως αυτή που αποκάλυψε η ESET. Η κοινή χρήση πληροφοριών για τις απειλές και η συνεργασία σε έρευνες μπορεί να ενισχύσει σημαντικά την ικανότητα ενός οργανισμού να ανιχνεύει και να μετριάζει προηγμένες απειλές.
Πηγή: www.infosecurity-magazine.com
