Een Chinees sprekende Advanced Persistent Threat (APT) is gekoppeld aan een nieuwe campagne gericht op gokgerelateerde bedrijven in Zuidoost-Azië, met name Taiwan, de Filippijnen en Hong Kong.
Cyberbeveiligingsbedrijf Avast noemde de campagne Operatie Dragon Castling, die zijn malware-arsenaal omschrijft als een “robuuste en modulaire toolset”. De uiteindelijke motieven van de dreigingsactor zijn nog niet direct zichtbaar en ook niet in verband gebracht met een bekende hackgroep.
Hoewel er in de loop van de campagne meerdere initiële toegangswegen werden gebruikt, was een van de aanvalsvectoren het gebruik van een voorheen onbekende fout in de uitvoering van externe code in de WPS Office-suite (CVE-2022-24934) om zijn doelen achter de hand te houden. Het probleem is sindsdien aangepakt door Kingsoft Office, de ontwikkelaars van de kantoorsoftware.
In het geval dat werd waargenomen door het Tsjechische beveiligingsbedrijf, werd de kwetsbaarheid gebruikt om een kwaadaardig binair bestand van een nep-updateserver te laten vallen met het domein update.wps[.]cn die een meertraps infectieketen activeert die leidt tot de inzet van tussenliggende payloads, waardoor privilege-escalatie mogelijk wordt voordat uiteindelijk de Proto8-module wordt verwijderd.
“De kernmodule is een enkele DLL die verantwoordelijk is voor het opzetten van de werkmap van de malware, het laden van configuratiebestanden, het bijwerken van de code, het laden van plug-ins, het beaconsen naar [command-and-control] servers en wachten op opdrachten”, aldus Avast-onderzoekers Luigino Camastra, Igor Morgenstern, Jan Holman.
Het op plug-ins gebaseerde systeem van Proto8 dat wordt gebruikt om de functionaliteit uit te breiden, stelt de malware in staat om persistentie te bereiken en gebruikersaccountbeheer te omzeilen (UAC) mechanismen, nieuwe backdoor-accounts maken en zelfs willekeurige opdrachten uitvoeren op het geïnfecteerde systeem.
