Une menace persistante avancée (APT) de langue chinoise a été liée à une nouvelle campagne ciblant les entreprises liées au jeu en Asie du Sud-Est, en particulier à Taïwan, aux Philippines et à Hong Kong.
La société de cybersécurité Avast a surnommé la campagne Opération Dragon Casting, décrivant son arsenal de logiciels malveillants comme un « ensemble d’outils robustes et modulaires ». Les motivations ultimes de l’acteur de la menace ne sont pas encore immédiatement perceptibles et il n’a pas non plus été lié à un groupe de piratage connu.
Bien que plusieurs voies d’accès initiales aient été utilisées au cours de la campagne, l’un des vecteurs d’attaque consistait à exploiter une faille d’exécution de code à distance jusque-là inconnue dans la suite WPS Office (CVE-2022-24934) pour détourner ses cibles. Le problème a depuis été résolu par Kingsoft Office, les développeurs du logiciel de bureau.
Dans le cas observé par la société de sécurité tchèque, la vulnérabilité a été utilisée pour supprimer un binaire malveillant d’un faux serveur de mise à jour avec le domaine update.wps[.]cn qui déclenche une chaîne d’infection en plusieurs étapes qui conduit au déploiement de charges utiles intermédiaires et permet une élévation des privilèges avant de finalement supprimer le module Proto8.
« Le module principal est une DLL unique qui est responsable de la configuration du répertoire de travail du logiciel malveillant, du chargement des fichiers de configuration, de la mise à jour de son code, du chargement des plugins, du balisage vers [command-and-control] serveurs et en attente de commandes », ont déclaré les chercheurs d’Avast Luigino Camastra, Igor Morgenstern et Jan Holman.
Le système basé sur des plug-ins de Proto8 utilisé pour étendre ses fonctionnalités permet au logiciel malveillant d’atteindre la persistance, de contourner le contrôle des comptes d’utilisateurs (UAC), créer de nouveaux comptes de porte dérobée et même exécuter des commandes arbitraires sur le système infecté.