Çince konuşan bir gelişmiş kalıcı tehdit (APT), Güney Doğu Asya’daki, özellikle Tayvan, Filipinler ve Hong Kong’daki kumarla ilgili şirketleri hedef alan yeni bir kampanyayla ilişkilendirildi.
Siber güvenlik firması Avast kampanyayı seslendirdi Dragon Rok Harekatı, kötü amaçlı yazılım cephaneliğini “sağlam ve modüler bir araç seti” olarak tanımlıyor. Tehdit aktörünün nihai nedenleri henüz hemen fark edilmedi ve bilinen bir bilgisayar korsanlığı grubuyla bağlantılı değil.
Kampanya süresince birden çok ilk erişim yolu kullanılırken, saldırı vektörlerinden biri WPS Office paketinde önceden bilinmeyen bir uzaktan kod yürütme kusurundan yararlanmayı içeriyordu (CVE-2022-24934) hedeflerine arka kapı açmak için. Sorun, o zamandan beri ofis yazılımının geliştiricileri olan Kingsoft Office tarafından ele alındı.
Çek güvenlik firması tarafından gözlemlenen vakada, güvenlik açığı update.wps alan adıyla sahte bir güncelleme sunucusundan kötü amaçlı bir ikili dosya bırakmak için kullanıldı.[.]Bu, ara yüklerin konuşlandırılmasına yol açan çok aşamalı bir enfeksiyon zincirini tetikler ve sonuçta Proto8 modülünü düşürmeden önce ayrıcalık yükseltmeye izin verir.
“Çekirdek modül, kötü amaçlı yazılımın çalışma dizinini kurmaktan, yapılandırma dosyalarını yüklemekten, kodunu güncellemekten, eklentileri yüklemekten, [command-and-control] Avast araştırmacıları Luigino Camastra, Igor Morgenstern, Jan Holman dedi.
Proto8’in işlevselliğini genişletmek için kullanılan eklenti tabanlı sistemi, kötü amaçlı yazılımın kalıcılık elde etmesini, kullanıcı hesabı kontrolünü atlamasını sağlar (UAC) mekanizmaları, yeni arka kapı hesapları oluşturma ve hatta virüslü sistemde keyfi komutlar yürütme.