Специалисты раскрыли механизм удалённого выполнения кода через офисный софт.
Южнокорейская кибершпионская группа, известная как APT-C-60, недавно была связана с использованием критической уязвимости нулевого дня в офисном пакете WPS Office. Эта уязвимость позволяет злоумышленникам удалённо исполнять код и внедрять вредоносное ПО, получившее название SpyGlace.
Исследования, проведённые компаниями Для просмотра ссылки Войдиили Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся показали, что атаки были направлены на пользователей из Китая и других стран Восточной Азии. Уязвимость, идентифицированная как Для просмотра ссылки Войди или Зарегистрируйся с оценкой 9.3 по шкале CVSS, связана с неправильной проверкой путей к файлам, предоставленных пользователями. Это открывало возможность для загрузки произвольной библиотеки Windows и выполнения удалённого кода.
APT-C-60 разработала эксплойт, который использует эту уязвимость в форме вредоносного файла таблицы. Этот файл был загружен на VirusTotal в феврале 2024 года и содержал ссылку, активация которой запускала многослойный процесс заражения, приводящий к установке трояна SpyGlace. Вредоносный файл маскировался под обычный документ, что позволяло легко обмануть пользователя.
Группа APT-C-60 действует с 2021 года, а вредоносное ПО SpyGlace впервые было замечено в июне 2022 года. Согласно данным компании ThreatBook, для создания эксплойта требовались глубокие знания внутреннего устройства WPS Office и особенностей загрузки Windows. Сам эксплойт настолько убедителен, что может обмануть даже опытных пользователей.
Компания Kingsoft, ответственная за разработку WPS Office, сообщила, что уже устранила уязвимость в одном из последних обновлений. Пользователям настоятельно рекомендуется убедиться, что программное обеспечение обновлено до актуальной версии, избегать открытия подозрительных файлов и быть внимательными при работе с документами из неизвестных источников.
Обнаружение этой угрозы подчёркивает важность регулярного обновления программного обеспечения и осторожного отношения к установке сторонних плагинов и приложений.
Южнокорейская кибершпионская группа, известная как APT-C-60, недавно была связана с использованием критической уязвимости нулевого дня в офисном пакете WPS Office. Эта уязвимость позволяет злоумышленникам удалённо исполнять код и внедрять вредоносное ПО, получившее название SpyGlace.
Исследования, проведённые компаниями Для просмотра ссылки Войди
APT-C-60 разработала эксплойт, который использует эту уязвимость в форме вредоносного файла таблицы. Этот файл был загружен на VirusTotal в феврале 2024 года и содержал ссылку, активация которой запускала многослойный процесс заражения, приводящий к установке трояна SpyGlace. Вредоносный файл маскировался под обычный документ, что позволяло легко обмануть пользователя.
Группа APT-C-60 действует с 2021 года, а вредоносное ПО SpyGlace впервые было замечено в июне 2022 года. Согласно данным компании ThreatBook, для создания эксплойта требовались глубокие знания внутреннего устройства WPS Office и особенностей загрузки Windows. Сам эксплойт настолько убедителен, что может обмануть даже опытных пользователей.
Компания Kingsoft, ответственная за разработку WPS Office, сообщила, что уже устранила уязвимость в одном из последних обновлений. Пользователям настоятельно рекомендуется убедиться, что программное обеспечение обновлено до актуальной версии, избегать открытия подозрительных файлов и быть внимательными при работе с документами из неизвестных источников.
Обнаружение этой угрозы подчёркивает важность регулярного обновления программного обеспечения и осторожного отношения к установке сторонних плагинов и приложений.
- Источник новости
- www.securitylab.ru