{"id":1337385,"date":"2024-08-28T16:28:46","date_gmt":"2024-08-28T16:28:46","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-grupo-apt-c-60-aprovecha-la-falla-de-wps-office-para-implementar-la-puerta-trasera-spyglace\/"},"modified":"2024-08-28T16:28:51","modified_gmt":"2024-08-28T16:28:51","slug":"el-grupo-apt-c-60-aprovecha-la-falla-de-wps-office-para-implementar-la-puerta-trasera-spyglace","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-grupo-apt-c-60-aprovecha-la-falla-de-wps-office-para-implementar-la-puerta-trasera-spyglace\/","title":{"rendered":"El grupo APT-C-60 aprovecha la falla de WPS Office para implementar la puerta trasera SpyGlace"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">28 de agosto de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Ataque cibern\u00e9tico \/ vulnerabilidad<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/El-grupo-APT-C-60-aprovecha-la-falla-de-WPS-Office-para.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Un grupo de ciberespionaje aliado con Corea del Sur ha sido vinculado a la explotaci\u00f3n de d\u00eda cero de una falla cr\u00edtica de ejecuci\u00f3n remota de c\u00f3digo ahora parcheada en Kingsoft WPS Office para implementar una puerta trasera a medida denominada SpyGlace.<\/p>\n<p>La actividad ha sido atribuida a un actor de amenazas denominado <strong>APT-C-60<\/strong>seg\u00fan las empresas de ciberseguridad ESET y DBAPPSecurity. Los ataques han sido <a rel=\"nofollow noopener\" href=\"https:\/\/mp.weixin.qq.com\/s\/F8hNyESBdKhwXkQPgtGpew\" target=\"_blank\">encontr\u00f3<\/a> infectar a usuarios chinos y del este de Asia con malware.<\/p>\n<p>La falla de seguridad en cuesti\u00f3n es <a rel=\"nofollow noopener\" href=\"https:\/\/www.cve.org\/CVERecord?id=CVE-2024-7262\" target=\"_blank\">CVE-2024-7262<\/a> (puntuaci\u00f3n CVSS: 9,3), que se debe a la falta de una validaci\u00f3n adecuada de las rutas de archivo proporcionadas por el usuario. Esta laguna permite b\u00e1sicamente que un adversario cargue una biblioteca arbitraria de Windows y logre la ejecuci\u00f3n remota de c\u00f3digo.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/inside-c-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/El-Departamento-de-Justicia-acusa-a-un-hombre-de-Nashville.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>El error &#8220;permite la ejecuci\u00f3n de c\u00f3digo mediante el secuestro del flujo de control del componente del complemento WPS Office promecefpluginhost.exe&#8221;, dijo ESET. <a rel=\"nofollow noopener\" href=\"https:\/\/www.welivesecurity.com\/en\/eset-research\/analysis-of-two-arbitrary-code-execution-vulnerabilities-affecting-wps-office\/\" target=\"_blank\">dicho<\/a>y agreg\u00f3 que encontr\u00f3 otra forma de lograr el mismo efecto. La segunda vulnerabilidad se rastrea como <a rel=\"nofollow noopener\" href=\"https:\/\/www.cve.org\/CVERecord?id=CVE-2024-7263\" target=\"_blank\">CVE-2024-7263<\/a> (Puntuaci\u00f3n CVSS: 9,3).<\/p>\n<p>El ataque concebido por APT-C-60 convierte la falla en un exploit de un solo clic que toma la forma de un documento de hoja de c\u00e1lculo con trampa explosiva que se carg\u00f3 en VirusTotal en febrero de 2024.<\/p>\n<p>Espec\u00edficamente, el archivo viene incrustado con un enlace malicioso que, al hacer clic, desencadena una secuencia de infecci\u00f3n de varias etapas para entregar el troyano SpyGlace, un archivo DLL llamado TaskControler.dll que viene con capacidades de robo de archivos, carga de complementos y ejecuci\u00f3n de comandos.<\/p>\n<p>&#8220;Los desarrolladores del exploit insertaron una imagen de las filas y columnas de la hoja de c\u00e1lculo dentro de la hoja de c\u00e1lculo para enga\u00f1ar y convencer al usuario de que el documento es una hoja de c\u00e1lculo normal&#8221;, dijo el investigador de seguridad Romain Dumont. &#8220;El hiperv\u00ednculo malicioso estaba vinculado a la imagen para que al hacer clic en una celda de la imagen se activara el exploit&#8221;.<\/p>\n<p>APT-C-60 es <a rel=\"nofollow noopener\" href=\"https:\/\/threatbook.io\/blog\/Military-Topics-in-Focus:-APT-C-60-Threat-Continues-to-be-Exposed\" target=\"_blank\">cre\u00eddo<\/a> Estar activo desde 2021, con SpyGlace <a rel=\"nofollow noopener\" href=\"https:\/\/threatbook.io\/blog\/Analysis-of-APT-C-60-Attack-on-South-Korea\" target=\"_blank\">detectado<\/a> en circulaci\u00f3n desde junio de 2022, seg\u00fan el proveedor de ciberseguridad ThreatBook, con sede en Beijing.<\/p>\n<p>&#8220;Independientemente de si el grupo desarroll\u00f3 o compr\u00f3 el exploit para CVE-2024-7262, definitivamente requiri\u00f3 cierta investigaci\u00f3n sobre los aspectos internos de la aplicaci\u00f3n, pero tambi\u00e9n conocimiento de c\u00f3mo se comporta el proceso de carga de Windows&#8221;, dijo Dumont.<\/p>\n<p>&#8220;El exploit es astuto, ya que es lo suficientemente enga\u00f1oso como para enga\u00f1ar a cualquier usuario para que haga clic en una hoja de c\u00e1lculo de apariencia leg\u00edtima, y \u200b\u200bal mismo tiempo es muy eficaz y confiable. La elecci\u00f3n del formato de archivo MHTML permiti\u00f3 a los atacantes convertir una vulnerabilidad de ejecuci\u00f3n de c\u00f3digo en una vulnerabilidad remota&#8221;.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/cis-image-hn\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/1723190360_817_El-Departamento-de-Justicia-acusa-a-un-hombre-de-Nashville.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>La revelaci\u00f3n se produce cuando la empresa eslovaca de ciberseguridad se\u00f1al\u00f3 que un complemento malicioso de terceros para la aplicaci\u00f3n de mensajer\u00eda Pidgin llamado ScreenShareOTR (o ss-otr) albergaba un c\u00f3digo responsable de descargar binarios de la siguiente etapa desde un servidor de comando y control (C&#038;C), lo que en \u00faltima instancia condujo a la implementaci\u00f3n del malware DarkGate.<\/p>\n<p>&#8220;La funcionalidad del complemento, como se anuncia, incluye el uso compartido de pantalla mediante el protocolo seguro de mensajer\u00eda off-the-record (OTR). Sin embargo, adem\u00e1s de eso, el complemento contiene c\u00f3digo malicioso&#8221;, dijo ESET <a rel=\"nofollow noopener\" href=\"https:\/\/x.com\/ESETresearch\/status\/1828114327976415445\" target=\"_blank\">dicho<\/a>&#8220;Espec\u00edficamente, algunas versiones de pidgin-screenshare.dll pueden descargar y ejecutar un script de PowerShell desde el servidor C&#038;C&#8221;.<\/p>\n<p>El complemento, que tambi\u00e9n contiene funciones de captura de pantalla y keylogger, ha sido utilizado desde entonces. <a rel=\"nofollow noopener\" href=\"https:\/\/pidgin.im\/posts\/2024-08-malicious-plugin\/\" target=\"_blank\">remoto<\/a> desde <a rel=\"nofollow noopener\" href=\"https:\/\/pidgin.im\/plugins\/\" target=\"_blank\">lista de complementos de terceros<\/a>Se recomienda a los usuarios que hayan instalado el complemento que lo eliminen con efecto inmediato.<\/p>\n<p>ESET tiene desde entonces <a rel=\"nofollow\" href=\"https:\/\/x.com\/ESETresearch\/status\/1828540922000482585\">encontr\u00f3<\/a> que el mismo c\u00f3digo de puerta trasera malicioso que ScreenShareOTR tambi\u00e9n se ha descubierto en una aplicaci\u00f3n llamada <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/wiktor-kudla\/cradle-im\" target=\"_blank\">Cuna<\/a> (&#8220;cuna[.]im&#8221;) que pretende ser una bifurcaci\u00f3n de c\u00f3digo abierto de la aplicaci\u00f3n de mensajer\u00eda Signal. La aplicaci\u00f3n ha estado disponible para descargar durante casi un a\u00f1o a partir de septiembre de 2023.<\/p>\n<p>El c\u00f3digo malicioso se descarga ejecutando un script de PowerShell, que luego obtiene y ejecuta un script de AutoIt compilado que finalmente instala DarkGate. La versi\u00f3n Linux de Cradle ofrece un ejecutable ELF que descarga y ejecuta comandos de shell y env\u00eda los resultados a un servidor remoto.<\/p>\n<p>Otro indicador com\u00fan es que tanto el instalador del complemento como la aplicaci\u00f3n Cradle est\u00e1n firmados con un certificado digital v\u00e1lido emitido a una empresa polaca llamada &#8220;INTERREX &#8211; SP. Z OO&#8221;, lo que indica que los perpetradores est\u00e1n utilizando diferentes m\u00e9todos para propagar malware.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/08\/apt-c-60-group-exploit-wps-office-flaw.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80228 de agosto de 2024\ue804Ravie LakshmananAtaque cibern\u00e9tico \/ vulnerabilidad Un grupo de ciberespionaje aliado con Corea del Sur<\/p>\n","protected":false},"author":1,"featured_media":1337386,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,6132,250535,4661,4664,2503,2386,32935,4667,239182,4654,239508,4658,4659,4653,6304,18,1732,246983,4665,246984,250536,7157,246982,239484,207266],"class_list":["post-1337385","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-aprovecha","tag-aptc60","tag-ataques-ciberneticos","tag-como-hackear","tag-falla","tag-grupo","tag-implementar","tag-las-noticias-de-los-hackers","tag-malware-ransomware","tag-noticias-ciberneticas","tag-noticias-de-ciberseguridad-hoy","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-office","tag-para","tag-puerta","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-spyglace","tag-trasera","tag-violacion-de-datos","tag-vulnerabilidad-del-software","tag-wps"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1337385","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1337385"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1337385\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1337386"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1337385"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1337385"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1337385"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}