韩国黑客组织 APT-C-60 攻击日本目标

被称为APT-C-60 的威胁组织与针对日本某个未具名组织的网络攻击有关，该攻击使用以求职主题为诱饵来投放 SpyGlace 后门。

这是根据 JPCERT/CC 的调查结果得出的结论，该调查显示，入侵利用了 Google Drive、Bitbucket 和 StatCounter 等合法服务。攻击发生在 2024 年 8 月左右。

该机构表示：“在此次攻击中，一封声称来自潜在员工的电子邮件被发送给该组织的招聘联系人，从而使该联系人感染了恶意软件。”

APT-C-60 是一个与韩国结盟的网络间谍组织，该组织以东亚国家为目标。2024 年 8 月，该组织被发现利用 Windows 版 WPS Office (CVE-2024-7262) 中的远程代码执行漏洞来投放名为 SpyGlace 的自定义后门。

JPCERT/CC 发现的攻击链涉及使用一封网络钓鱼电子邮件，其中包含指向托管在 Google Drive 上的文件的链接，这是一个虚拟硬盘驱动器 (VHDX) 文件，下载并安装后，该文件包含一个诱饵文档和一个 Windows 快捷方式（“Self-Introduction.lnk”）。

VHDX 文件内容

LNK文件负责触发感染链中的后续步骤，同时还显示诱饵文档以分散注意力。

这需要启动一个名为“SecureBootUEFI.dat”的下载器/投放器有效载荷，然后使用合法的网络分析工具 StatCounter 传输一个字符串，该字符串可以使用HTTP referer 字段唯一地标识受害设备。字符串值来自计算机名称、主目录和用户名并经过编码。

然后，下载程序使用编码的唯一字符串访问 Bitbucket 以检索下一阶段，即称为“Service.dat”的文件，该文件从不同的 Bitbucket 存储库下载另外两个工件 - “cbmp.txt”和“icon.txt” - 分别保存为“cn.dat”和“sp.dat”。

“Service.dat”还使用一种称为COM劫持的技术在受感染主机上持久保存“cn.dat” ，之后后者执行SpyGlace后门（“sp.dat”）。

后门与命令和控制服务器（“103.187.26[.]176”）建立联系，并等待进一步的指令，以允许其窃取文件、加载其他插件并执行命令。

网络安全公司创宇 404 Lab和Positive Technologies均已独立报道了投放 SpyGlace 恶意软件的相同活动，同时强调了指向 APT-C-60 和APT-Q-12 （又名 Pseudo Hunter）是DarkHotel APT集群内分支机构的证据。

Positive Technologies 表示：“亚洲地区的犯罪团伙继续使用非标准技术将恶意软件传播到受害者的设备。其中一种技术是使用 VHD/VHDX 格式的虚拟磁盘来绕过操作系统的保护机制。”

技术报告：

https://blogs.jpcert.or.jp/ja/2024/11/APT-C-60.html

https://mp.weixin.qq.com/s/qsgzOg-0rZfXEn4Hfj9RLw

https://global.ptsecurity.com/analytics/pt-esc-threat-intelligence/darkhotel-a-cluster-of-groups-united-by-common-techniques

新闻链接：

https://thehackernews.com/2024/11/apt-c-60-exploits-wps-office.html

讲述普通人能听懂的安全故事