SpyGlace-Malware: Bitbucket & StatCounter missbraucht
Der berüchtigte Bedrohungsakteur APT-C-60 sorgt mal wieder für Negativschlagzeilen: Durch einen raffinierten Cyberangriff auf eine Organisation in Japan schleusten die Angreifer die gefährliche SpyGlace-Hintertür ein. Ihr perfides Werkzeug: eine vermeintlich harmlose Stellenbewerbung, die als Köder diente, um Zugang zu sensiblen Systemen zu erlangen.
Laut JPCERT/CC nutzte der Angriff auf eine Organisation in Japan legitime Dienste wie Google Drive, Bitbucket und StatCounter, um Schadsoftware zu verbreiten. Der Vorfall ereignete sich im August 2024. Die Angreifer verschickten eine täuschend echte E-Mail, die vorgab, von einem potenziellen Bewerber zu stammen, an den Rekrutierungskontakt des Unternehmens. Über diese E-Mail wurde Malware eingeschleust, so die japanische Info-Plattform für IT-Security.
Hinter dem Angriff steht die Cyberspionage-Gruppe APT-C-60, die Südkorea nahesteht und für gezielte Angriffe auf ostasiatische Länder bekannt ist. In diesem Fall nutzten die Täter eine Sicherheitslücke in WPS Office für Windows (CVE-2024-7262), um Remotecode auszuführen und die SpyGlace-Hintertür zu installieren.
Die Angriffskette, die JPCERT/CC dokumentierte, begann mit einer Phishing-E-Mail, die einen Link zu einer auf Google Drive gespeicherten Datei enthielt. Die Datei, eine virtuelle Festplatte im VHDX-Format, enthielt ein Täuschungsdokument und eine manipulierte Windows-Verknüpfung („Self-Introduction.lnk“), die beim Öffnen die Malware ausführte.
Die LNK-Datei spielt eine zentrale Rolle in der Infektionskette: Sie führt den ersten Schadsoftware-Schritt aus und zeigt gleichzeitig ein Köderdokument an, um die Aufmerksamkeit des Opfers abzulenken.
Unterdessen wird ein Downloader namens „SecureBootUEFI.dat“ gestartet. Dieser nutzt StatCounter, ein legitimes Webanalyse-Tool, um eine eindeutige Kennung des infizierten Geräts zu generieren und zu übertragen. Diese Kennung basiert auf Informationen wie dem Computernamen, dem Home-Verzeichnis und dem Benutzernamen, die verschlüsselt über das HTTP-Referer-Feld gesendet werden.
Mit dieser Kennung ruft der Downloader über Bitbucket die nächste Schadsoftware-Stufe ab, eine Datei namens „Service.dat“. Diese lädt anschließend zwei weitere Dateien aus einem Bitbucket-Repository herunter: „cbmp.txt“ und „icon.txt“, die auf dem infizierten Gerät als „cn.dat“ und „sp.dat“ gespeichert werden.
„Service.dat“ sorgt dafür, dass „cn.dat“ auf dem System bleibt, indem eine Technik namens COM-Hijacking eingesetzt wird. Anschließend startet „cn.dat“ die SpyGlace-Backdoor („sp.dat“).
Die SpyGlace-Backdoor verbindet sich mit einem Command-and-Control-Server („103.187.26[.]176“) und wartet auf Anweisungen. Über diese kann sie Dateien stehlen, zusätzliche Plug-ins laden oder beliebige Befehle auf dem kompromittierten Gerät ausführen.
Interessanterweise haben die Cybersicherheitsunternehmen Chuangyu 404 Lab und Positive Technologies unabhängig voneinander identische Kampagnen dokumentiert, welche die SpyGlace-Malware verbreiten. Beide fanden Hinweise darauf, dass die Gruppen APT-C-60 und APT-Q-12 (auch bekannt als Pseudo Hunter) Untergruppen des DarkHotel-Clusters sein könnten.
Positive Technologies erklärt: „Gruppen aus dem asiatischen Raum setzen weiterhin unkonventionelle Techniken ein, um ihre Malware auf die Geräte ihrer Opfer zu schleusen. Eine dieser Methoden ist die Nutzung virtueller Festplatten im VHD/VHDX-Format, um Sicherheitsmechanismen des Betriebssystems zu umgehen.“