{"id":21429,"date":"2024-11-29T18:30:32","date_gmt":"2024-11-29T21:30:32","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=21429"},"modified":"2024-11-29T18:30:33","modified_gmt":"2024-11-29T21:30:33","slug":"malware-spyglace-explora-servicos-legitimos-para-espionagem-cibernetica","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2024\/11\/exploits\/malware-spyglace-explora-servicos-legitimos-para-espionagem-cibernetica\/","title":{"rendered":"Malware SpyGlace explora servi\u00e7os leg\u00edtimos para espionagem cibern\u00e9tica"},"content":{"rendered":"\n<p><strong>APT-C-60: Campanha de Malware SpyGlace Explora Servi\u00e7os Leg\u00edtimos para Espionagem Cibern\u00e9tica<\/strong><\/p>\n<p style=\"text-align: justify;\">A amea\u00e7a cibern\u00e9tica conhecida como APT-C-60 foi associada a um ataque direcionado contra uma organiza\u00e7\u00e3o no Jap\u00e3o, utilizando um tema de &#8220;candidatura de emprego&#8221; como isca para entregar o backdoor SpyGlace. A campanha detectada pelo JPCERT\/CC, destacou-se por explorar servi\u00e7os leg\u00edtimos como Google Drive, Bitbucket e StatCounter para conduzir suas atividades maliciosas.<\/p>\n<p>\u00a0<\/p>\n<p><strong>Como o ataque foi realizado<\/strong><\/p>\n<p style=\"text-align: justify;\">O ataque ocorreu em agosto de 2024, quando o grupo enviou um e-mail de phishing para o contato de recrutamento da organiza\u00e7\u00e3o. A mensagem fingia ser de um candidato interessado em uma vaga de emprego. A corrente de ataque envolveu as seguintes etapas:<\/p>\n<p>\u00a0<\/p>\n<ul>\n<li style=\"text-align: justify;\"><strong>Phishing inicial<\/strong>: O e-mail continha um link para um arquivo hospedado no Google Drive. Este arquivo era um disco r\u00edgido virtual no formato VHDX, que inclu\u00eda um documento de isca e um atalho do Windows chamado \u201cSelf-Introduction.lnk\u201d.<\/li>\n<li style=\"text-align: justify;\"><strong>Execu\u00e7\u00e3o do atalho (LNK)<\/strong>: Ao abrir o atalho, a v\u00edtima era distra\u00edda pelo documento enquanto outros processos maliciosos eram executados em segundo plano.<\/li>\n<li style=\"text-align: justify;\"><strong>Downloader inicial<\/strong>: Um arquivo chamado &#8220;SecureBootUEFI.dat&#8221; era ativado para iniciar o download de outros componentes. Ele utilizava o StatCounter para enviar informa\u00e7\u00f5es sobre o dispositivo da v\u00edtima, como nome do computador, diret\u00f3rio principal e nome de usu\u00e1rio, codificados para identifica\u00e7\u00e3o.<\/li>\n<li style=\"text-align: justify;\"><strong>Conex\u00e3o com Bitbucket<\/strong>: Com as informa\u00e7\u00f5es coletadas, o downloader acessava um reposit\u00f3rio no Bitbucket para baixar o pr\u00f3ximo est\u00e1gio, um arquivo chamado \u201cService.dat\u201d. Este arquivo buscava mais dois artefatos, \u201ccbmp.txt\u201d e \u201cicon.txt\u201d, que eram renomeados como \u201ccn.dat\u201d e \u201csp.dat\u201d e armazenados no dispositivo.<\/li>\n<li style=\"text-align: justify;\"><strong>Persist\u00eancia e execu\u00e7\u00e3o do SpyGlace<\/strong>: O \u201cService.dat\u201d utilizava uma t\u00e9cnica chamada COM hijacking para garantir que \u201ccn.dat\u201d permanecesse no dispositivo. Este, por sua vez, executava o backdoor SpyGlace (\u201csp.dat\u201d).<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p><a href=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEhVePfTaA5W5y5-av8VXtnFpAVSwZftCD3IFQHQn-8UUYz0QkSlcYXBWISChY_kimIMkxekkf1nVOjxgtKXAhHpZ-XFYG9CYPBaDUsn7O7797D25TijL2A-HWn0_FBzdcJw6xxk3T0f4n-_DmbJJ0N1HYWnsC5fbnRijnba0ZgYsZJSCdtU-TtUfNTQwhBX\/s728-rw-e365\/cyberattack.png\" class=\"gallery_colorbox\"><img loading=\"lazy\" decoding=\"async\" class=\"loaded aligncenter\" title=\"SpyGlace Backdoor\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEhVePfTaA5W5y5-av8VXtnFpAVSwZftCD3IFQHQn-8UUYz0QkSlcYXBWISChY_kimIMkxekkf1nVOjxgtKXAhHpZ-XFYG9CYPBaDUsn7O7797D25TijL2A-HWn0_FBzdcJw6xxk3T0f4n-_DmbJJ0N1HYWnsC5fbnRijnba0ZgYsZJSCdtU-TtUfNTQwhBX\/s728-rw-e365\/cyberattack.png\"  alt=\"SpyGlace Backdoor\" width=\"626\" height=\"327\" border=\"0\" data-original-height=\"380\" data-original-width=\"728\" \/><\/a><\/p>\n<p>\u00a0<\/p>\n<p><strong>O papel do backdoor SpyGlace<\/strong><\/p>\n<p style=\"text-align: justify;\">Uma vez ativo, o SpyGlace estabelecia comunica\u00e7\u00e3o com um servidor de comando e controle (C2), permitindo que os atacantes:<\/p>\n<ul>\n<li>Roubassem arquivos sens\u00edveis;<\/li>\n<li>Carregassem plugins adicionais;<\/li>\n<li>Executassem comandos remotamente.<\/li>\n<\/ul>\n<p>O servidor C2 identificado estava localizado no endere\u00e7o 103.187.26[.]176, de onde os atacantes enviavam instru\u00e7\u00f5es para o backdoor.<\/p>\n<p>\u00a0<\/p>\n<p><strong>Atribui\u00e7\u00e3o do Ataque: APT-C-60 e conex\u00f5es com DarkHotel<\/strong><\/p>\n<p style=\"text-align: justify;\">O grupo APT-C-60, alinhado \u00e0 Coreia do Sul, tem hist\u00f3rico de realizar espionagem cibern\u00e9tica em pa\u00edses do Leste Asi\u00e1tico. Nesta campanha, o grupo explorou uma vulnerabilidade de execu\u00e7\u00e3o remota de c\u00f3digo no WPS Office para Windows (CVE-2024-7262) para implantar o SpyGlace.<\/p>\n<p style=\"text-align: justify;\">Pesquisas independentes das empresas Chuangyu 404 Lab e Positive Technologies apontam que o APT-C-60 pode estar relacionado ao APT-Q-12 (tamb\u00e9m conhecido como Pseudo Hunter), ambos subgrupos do cluster DarkHotel. Essa conex\u00e3o refor\u00e7a o foco do grupo em t\u00e9cnicas avan\u00e7adas para atingir suas v\u00edtimas.<\/p>\n<p>\u00a0<\/p>\n<p><strong>Uso de discos virtuais para evadir detec\u00e7\u00e3o<\/strong><\/p>\n<p style=\"text-align: justify;\">Uma t\u00e9cnica not\u00e1vel empregada nesta campanha foi o uso de discos virtuais em formatos VHD\/VHDX para contornar os mecanismos de seguran\u00e7a dos sistemas operacionais. Essa abordagem ajuda a mascarar o malware, dificultando sua detec\u00e7\u00e3o por softwares antiv\u00edrus e outras ferramentas de seguran\u00e7a.<\/p>\n<p>\u00a0<\/p>\n<div class=\"separator\"><a href=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEgVlh7woAV2GFsaaH6j2daXFoaOm4_tLDd0NBE6PpbSsn4ZmpHgJRQYun9RLKc6AoRTzq3gx_E9ggwWYfLyeM-HO4LpvEHB-N-lEUVOmyespwOcwnFhWYsmeokOw70WGsomEUCZ545QCcYaGPTxZQs8TZrEbYYxVeneqEEYmPPyOaj1i_FNIOdzpGX56K9B\/s728-rw-e365\/drive.png\" class=\"gallery_colorbox\"><img loading=\"lazy\" decoding=\"async\" class=\"loaded aligncenter\" title=\"SpyGlace Backdoor\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEgVlh7woAV2GFsaaH6j2daXFoaOm4_tLDd0NBE6PpbSsn4ZmpHgJRQYun9RLKc6AoRTzq3gx_E9ggwWYfLyeM-HO4LpvEHB-N-lEUVOmyespwOcwnFhWYsmeokOw70WGsomEUCZ545QCcYaGPTxZQs8TZrEbYYxVeneqEEYmPPyOaj1i_FNIOdzpGX56K9B\/s728-rw-e365\/drive.png\"  alt=\"SpyGlace Backdoor\" width=\"604\" height=\"411\" border=\"0\" data-original-height=\"708\" data-original-width=\"1041\" \/><\/a><\/div>\n<p>\u00a0<\/p>\n<p><strong>Como se proteger contra APT-C-60 e malware semelhantes<\/strong><\/p>\n<p style=\"text-align: justify;\">Os ataques realizados por grupos como o APT-C-60 destacam a necessidade de medidas de seguran\u00e7a robustas para organiza\u00e7\u00f5es e indiv\u00edduos. Aqui est\u00e3o algumas recomenda\u00e7\u00f5es para minimizar os riscos:<\/p>\n<ul>\n<li><strong>Educa\u00e7\u00e3o contra phishing<\/strong>: Treine equipes para reconhecer e-mails suspeitos, especialmente aqueles com links ou anexos inesperados.<\/li>\n<li><strong>Prote\u00e7\u00e3o avan\u00e7ada<\/strong>: Utilize solu\u00e7\u00f5es de EDR (Endpoint Detection and Response) que podem identificar comportamentos an\u00f4malos, como o uso de discos virtuais ou scripts maliciosos.<\/li>\n<li><strong>Atualiza\u00e7\u00e3o de software<\/strong>: Mantenha seus sistemas operacionais e softwares atualizados para mitigar vulnerabilidades conhecidas, como a CVE-2024-7262.<\/li>\n<li><strong>Segmenta\u00e7\u00e3o de rede<\/strong>: Limite o acesso entre diferentes partes da rede para conter poss\u00edveis invas\u00f5es.<\/li>\n<li><strong>Monitoramento de reposit\u00f3rios leg\u00edtimos<\/strong>: Estabele\u00e7a regras para monitorar e bloquear acessos n\u00e3o autorizados a servi\u00e7os como Bitbucket e Google Drive, frequentemente explorados por cibercriminosos.<\/li>\n<li><strong>Logs e auditorias regulares<\/strong>: Analise registros de acesso e atividades na rede para identificar comportamentos suspeitos.<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p><strong>Conclus\u00e3o<\/strong><\/p>\n<p style=\"text-align: justify;\">A campanha de malware SpyGlace \u00e9 mais um exemplo da sofistica\u00e7\u00e3o crescente dos grupos de espionagem cibern\u00e9tica. Ao explorar servi\u00e7os leg\u00edtimos e t\u00e9cnicas avan\u00e7adas como discos virtuais, o APT-C-60 demonstrou sua capacidade de burlar medidas de seguran\u00e7a tradicionais.<\/p>\n<p style=\"text-align: justify;\">Organiza\u00e7\u00f5es em todo o mundo devem permanecer vigilantes, adotando tecnologias avan\u00e7adas de seguran\u00e7a e promovendo conscientiza\u00e7\u00e3o para proteger seus ativos contra ataques como esses. A batalha contra cibercriminosos exige prepara\u00e7\u00e3o constante e adapta\u00e7\u00e3o \u00e0s novas t\u00e1ticas.<\/p>\n<p>\u00a0<\/p>\n<p>Fonte e imagens: <a href=\"https:\/\/thehackernews.com\/2024\/11\/apt-c-60-exploits-wps-office.html\" target=\"_blank\" rel=\"noopener\">https:\/\/thehackernews.com\/2024\/11\/apt-c-60-exploits-wps-office.html<\/a><\/p>\n\n\n","protected":false},"excerpt":{"rendered":"<p>APT-C-60: Campanha de Malware SpyGlace Explora Servi\u00e7os Leg\u00edtimos para Espionagem Cibern\u00e9tica A amea\u00e7a cibern\u00e9tica conhecida como APT-C-60 foi associada a um ataque direcionado contra uma organiza\u00e7\u00e3o no Jap\u00e3o, utilizando um tema de &#8220;candidatura de emprego&#8221; como isca para entregar o backdoor SpyGlace. A campanha detectada pelo JPCERT\/CC, destacou-se por explorar servi\u00e7os leg\u00edtimos como Google Drive, [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":21435,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,21,105],"tags":[],"class_list":["post-21429","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-exploits","category-noticias"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/21429","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=21429"}],"version-history":[{"count":6,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/21429\/revisions"}],"predecessor-version":[{"id":21436,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/21429\/revisions\/21436"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/21435"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=21429"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=21429"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=21429"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}