Aktor ancaman yang dikenal sebagai APT-C-60 telah dikaitkan dengan serangan dunia maya yang menargetkan organisasi yang tidak disebutkan namanya di Jepang yang menggunakan daya tarik bertema lamaran pekerjaan untuk mengirimkan pintu belakang SpyGlace.
Hal ini berdasarkan temuan dari JPCERT/CC, yang mengatakan bahwa intrusi tersebut memanfaatkan layanan sah seperti Google Drive, Bitbucket, dan StatCounter. Penyerangan dilakukan sekitar Agustus 2024.
“Dalam serangan ini, sebuah email yang mengaku berasal dari calon karyawan dikirim ke kontak perekrutan organisasi, sehingga menginfeksi kontak tersebut dengan malware,” kata badan tersebut.
APT-C-60 adalah julukan yang diberikan kepada kelompok spionase siber yang bersekutu dengan Korea Selatan dan diketahui menargetkan negara-negara Asia Timur. Pada bulan Agustus 2024, diamati mengeksploitasi kerentanan eksekusi kode jarak jauh di WPS Office untuk Windows (CVE-2024-7262) untuk menghapus pintu belakang khusus yang disebut SpyGlace.
Rantai serangan yang ditemukan oleh JPCERT/CC melibatkan penggunaan email phishing yang berisi tautan ke file yang dihosting di Google Drive, file virtual hard disk drive (VHDX), yang, ketika diunduh dan dipasang, menyertakan dokumen umpan dan a Pintasan Windows (“Pengenalan Diri.lnk”).
File LNK bertanggung jawab untuk memicu langkah selanjutnya dalam rantai infeksi, sekaligus menampilkan dokumen umpan sebagai pengalih perhatian.
Hal ini memerlukan peluncuran muatan pengunduh/penetes bernama “SecureBootUEFI.dat” yang, pada gilirannya, menggunakan StatCounter, alat analisis web yang sah, untuk mengirimkan string yang secara unik dapat mengidentifikasi perangkat korban menggunakan bidang rujukan HTTP. Nilai string berasal dari nama komputer, direktori home, dan nama pengguna dan dikodekan.
Pengunduh kemudian mengakses Bitbucket menggunakan string unik yang disandikan untuk mengambil tahap berikutnya, file yang dikenal sebagai “Service.dat,” yang mengunduh dua artefak lagi dari repositori Bitbucket berbeda – “cbmp.txt” dan “icon.txt” – yang masing-masing disimpan sebagai “cn.dat” dan “sp.dat”.
“Service.dat” juga tetap menggunakan “cn.dat” pada host yang disusupi menggunakan teknik yang disebut pembajakan COM, setelah itu host tersebut mengeksekusi pintu belakang SpyGlace (“sp.dat”).
Pintu belakang, pada bagiannya, menjalin kontak dengan server perintah-dan-kontrol (“103.187.26[.]176”) dan menunggu instruksi lebih lanjut yang memungkinkannya mencuri file, memuat plugin tambahan, dan menjalankan perintah.
Perlu dicatat bahwa perusahaan keamanan siber Chuangyu 404 Lab dan Positive Technologies telah secara independen melaporkan kampanye serupa yang mengirimkan malware SpyGlace, serta menyoroti bukti yang menunjukkan bahwa APT-C-60 dan APT-Q-12 (alias Pseudo Hunter) merupakan subkelompok dalam kelompok tersebut. Kluster DarkHotel.
“Grup dari kawasan Asia terus menggunakan teknik non-standar untuk mengirimkan malware mereka ke perangkat korban,” kata Positive Technologies. “Salah satu teknik ini adalah penggunaan disk virtual dalam format VHD/VHDX untuk melewati mekanisme perlindungan sistem operasi.”