Os piratas de computador aproveitam o novo escritório do WPS na falta de violação de empresas de apostas

Um agente de ameaças desconhecido de língua chinesa tem como alvo empresas de jogos de azar em Taiwan, Hong Kong e Filipinas, aproveitando uma vulnerabilidade no WPS Office para plantar um backdoor em sistemas direcionados.

O adversário parece ser sofisticado e seu kit de ferramentas tem semelhanças de código com os backdoors do grupo APT analisados ​​em dois relatórios de 2015 e 2017 de Palo Alto e BlackBerry, respectivamente.

A campanha mais recente foi detectada por pesquisadores da Avast, que testaram várias ferramentas de malware de agentes de ameaças, que compilaram um kit de ferramentas modular completo.

índice

  1. Apontando para uma falha do WPS Office
  2. Conjunto de ferramentas rico e complexo
  3. Objetivos de campanha obscuros

Apontando para uma falha do WPS Office

O primeiro vetor de infecção usado nesta campanha é um e-mail com um instalador vinculado que pretende ser uma atualização crítica do WPS Office, mas na maioria dos ataques, os invasores usam um método diferente.

O segundo vetor de infecção, que é predominantemente usado nesta campanha, explora o CVE-2022-24934, uma vulnerabilidade no utilitário de atualização do WPS Office.

O WPS Office (anteriormente Kingsoft Office) é um pacote de escritório multiplataforma com mais de 1,2 bilhão de instalações. Seu uso é predominante em Hong Kong e na China porque historicamente é o primeiro processador de texto a suportar o idioma chinês.

A exploração de CVE-2022-24934 leva ao estabelecimento de um canal de comunicação com C2, obtenção de cargas adicionais e execução de código na máquina comprometida.

Como a exploração WPS leva à implantação de malware (avast)

"Para explorar a vulnerabilidade, uma chave de registro em HKEY_CURRENT_USER deve ser modificada e, ao fazer isso, um invasor obtém persistência do sistema e controle sobre o processo de atualização", explica a Avast em seu white paper.

A Avast informou o fornecedor do software sobre a vulnerabilidade, que permite que os atores executem código arbitrário e, embora um patch tenha sido emitido, nem todos aplicaram a atualização de segurança ainda.

Conjunto de ferramentas rico e complexo

As cargas úteis do primeiro estágio plantadas no sistema comprometido incluem um backdoor DLL para comunicação C2 e um dropper que eleva os privilégios no sistema. O último recebe oito cargas úteis que cumprem várias funções funcionais.

Na segunda etapa, o módulo principal, "Proto8", é carregado no sistema comprometido e uma estrutura em cascata de quatro etapas é desenvolvida.

  1. Executa verificações iniciais e estabelece mecanismos de evasão.
  2. O módulo se atualiza automaticamente, carrega arquivos de configuração e configura seu diretório de trabalho.
  3. Ele coleta informações como nome de usuário, DNS, nome do computador NetBios, sistema operacional, arquitetura e funções de chamada pré-carregadas.
  4. Valide os endereços C2 criptografados e tente acessar o servidor controlado pelo ator.

Proto8 realizando sua auto-atualização e configuração (avast)

Feito o procedimento acima, o módulo central aguarda a chegada dos comandos remotos, que podem ser um dos seguintes:

  • Envie os dados coletados para o servidor C2
  • Encontre o nome de usuário, nome de domínio e nome do computador de todas as sessões da Área de Trabalho Remota
  • Listar discos raiz
  • Listar arquivos e encontrar detalhes de acesso e criação
  • Crie um processo com um token roubado e duplicado
  • renomear arquivos
  • deletar arquivos
  • crie um diretório
  • Enviar código de erro por meio de uma função de API
  • Listar arquivos em uma pasta específica
  • Carregar um arquivo para o servidor C2
  • Crie um diretório para hospedar arquivos baixados do C2

O Proto8 também possui um sistema de carregamento de plugins, e cada plugin oferece várias funções relacionadas à persistência, ignorando o UAC, oferecendo recursos de backdoor, evasão, etc.

Um desses plugins realiza a manipulação do registro para criar uma nova conta de usuário que é então abusada para estabelecer conexões RDP com a máquina sem ter uma senha de administrador.

Esse plug-in permite que o SID anônimo faça parte do grupo Todos no Windows, permite que usuários de "sessão nula" acessem pastas de rede compartilhadas e desativa os requisitos de aprovação do administrador para que todos os aplicativos sejam executados com privilégios totais.

Objetivos de campanha obscuros

Embora a Avast não tenha atribuído esta campanha a nenhum ator conhecido, eles acreditam que seja o trabalho de um APT chinês em busca de coleta de inteligência ou ganho financeiro.

Considerando a natureza dos alvos, que são empresas de apostas, o objetivo dos agentes da ameaça pode ter sido roubar detalhes financeiros ou assumir contas e retirar saldos de caução.

As táticas e o poderoso conjunto de ferramentas usadas na campanha refletem um adversário habilidoso, portanto, atribuições com alta confiança não são esperadas.

  • Melhores acessórios para Galaxy Tab S8 de 2022
  • 5 maneiras de destacar texto em uma animação do Microsoft PowerPoint

descubra mais conteúdo

O que é um amplificador integrado?

Google Pixel Watch também tem detecção de queda, mas não até o próximo ano

As melhores xícaras de café aquecidas de 2022

Como automatizar seu iPhone com base na hora, atividade ou localização

"Isso deve ter sido antes do meu tempo"

Por que a NASA enviou Snoopy para a Lua? – Revisão geek

Quais são as vantagens do WPS Office?

WPS Office Grátis: pago por anúncios

Vantagem desvantagens
Permite armazenar documentos .docx, .xlsx e .pptx Anúncios de banner em alguns recursos
Ferramenta de edição de layout de parágrafo Capacidade de acessar recursos adicionais na versão paga

Quais aplicativos o WPS Office possui?

O WPS Office é um pacote de escritório gratuito pequeno e rápido que fornece três aplicativos poderosos conhecidos como Writer , Spreadsheets e Presentation. É muito compatível com o MS Office e possui uma interface semelhante a esta.

O que é melhor WPS Office ou Microsoft Office?

Entre as alternativas gratuitas ao Microsoft Office encontramos WPS Office , uma das melhores . Obviamente, o Microsoft Office , devido à sua posição como editor de texto padrão (e outros formatos) do Windows, torna-se o rei dos editores.

Quais recursos o WPS Office possui?

Ele oferece tamanho de pacote pequeno, verificação ortográfica, conversor de PDF, interface com várias guias, ferramenta de quebra de parágrafo, arrastar e soltar tabela, hiperlinks para conversão de grupo e muito mais.

Ir arriba