与韩国结盟的网络间谍活动与零日利用金山 WPS Office 中现已修补的关键远程代码执行漏洞以部署名为 SpyGlace 的定制后门有关。

据网络安全公司 ESET 和 DBAPPSecurity 称，该活动被归因于一个名为 APT-C-60 的威胁行为者。已发现这些攻击会用恶意软件感染中国和东亚用户。

有问题的安全漏洞是 CVE-2024-7262（CVSS 分数：9.3），这是由于缺乏对用户提供的文件路径的正确验证。这个漏洞本质上允许对手上传任意 Windows 库并实现远程代码执行。

ESET 表示，该错误“允许通过劫持 WPS Office 插件组件的控制流来执行代码promecefpluginhost.exe”，并补充说它找到了另一种实现相同效果的方法。第二个漏洞被跟踪为 CVE-2024-7263 （CVSS 评分：9.3）。

APT-C-60 构思的攻击将漏洞武器化为一键式漏洞利用，该漏洞采用 2024 年 2 月上传到 VirusTotal 的诱杀电子表格文档的形式。

具体来说，该文件嵌入了一个恶意链接，单击该链接时，会触发多阶段感染序列以传递 SpyGlace 木马，这是一个名为 TaskControler.dll 的 DLL 文件，具有文件窃取、插件加载和命令执行功能。

“漏洞利用开发人员在电子表格中嵌入了电子表格行和列的图片，以欺骗并说服用户该文档是常规电子表格，”安全研究员 Romain Dumont 说。“恶意超链接链接到图像，因此单击图片中的单元格会触发漏洞利用。”

据总部位于北京的网络安全供应商 ThreatBook 称，APT-C-60 据信自 2021 年以来一直活跃，早在 2022 年 6 月就在野外检测到 SpyGlace。

Dumont 说：“无论该组织是开发还是购买了 CVE-2024-7262 漏洞，它肯定需要对应用程序的内部进行一些研究，但也需要了解 Windows 加载过程的行为方式。

“这个漏洞很狡猾，因为它具有足够的欺骗性，可以诱骗任何用户点击看起来合法的电子表格，同时也非常有效和可靠。MHTML 文件格式的选择使攻击者能够将代码执行漏洞转化为远程漏洞。

这家斯洛伐克网络安全公司指出，名为 ScreenShareOTR（或 ss-otr）的 Pidgin 消息传递应用程序的恶意第三方插件包含负责从命令和控制 （C&C） 服务器下载下一阶段二进制文件的代码，最终导致部署 DarkGate 恶意软件。

“正如宣传的那样，该插件的功能包括使用安全的不记录消息 （OTR） 协议的屏幕共享。但是，除此之外，该插件还包含恶意代码，“ESET 说。“具体来说，某些版本的 pidgin-screenshare.dll 可以从 C&C 服务器下载并执行 PowerShell 脚本。”

该插件还包含键盘记录器和屏幕截图捕获功能，此后已从第三方插件列表中删除。建议已安装该插件的用户立即将其删除。

此后，ESET 发现，在一个名为 Cradle 的应用程序（“cradle[.]im“） 的 Git，它声称是 Signal 消息应用程序的开源分支。该应用程序从 2023 年 9 月起可供下载近一年。

恶意代码通过运行一个PowerShell脚本下载，该脚本随后获取并执行一个编译后的AutoIt脚本，最终安装DarkGate。Cradle的Linux版本则传送一个ELF可执行文件，该文件下载并执行shell命令，并将结果发送到远程服务器。

另一个常见的指示迹象是，插件安装程序和Cradle应用程序都使用了一个有效的数字证书进行签名，该证书颁发给了名为“INTERREX – SP. Z O.O.”的一家波兰公司，这表明犯罪者正在使用不同的方法来传播恶意软件。