Новости 0day в WPS Office: как обычный документ становится плацдармом для запуска бэкдора SpyGlace

NewsMaker

I'm just a script
Премиум
13,851
20
8 Ноя 2022
Специалисты раскрыли механизм удалённого выполнения кода через офисный софт.


c8hcs0962mzkjeoflwg0poca408g6a0e.jpg


Южнокорейская кибершпионская группа, известная как APT-C-60, недавно была связана с использованием критической уязвимости нулевого дня в офисном пакете WPS Office. Эта уязвимость позволяет злоумышленникам удалённо исполнять код и внедрять вредоносное ПО, получившее название SpyGlace.

Исследования, проведённые компаниями Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся показали, что атаки были направлены на пользователей из Китая и других стран Восточной Азии. Уязвимость, идентифицированная как Для просмотра ссылки Войди или Зарегистрируйся с оценкой 9.3 по шкале CVSS, связана с неправильной проверкой путей к файлам, предоставленных пользователями. Это открывало возможность для загрузки произвольной библиотеки Windows и выполнения удалённого кода.

APT-C-60 разработала эксплойт, который использует эту уязвимость в форме вредоносного файла таблицы. Этот файл был загружен на VirusTotal в феврале 2024 года и содержал ссылку, активация которой запускала многослойный процесс заражения, приводящий к установке трояна SpyGlace. Вредоносный файл маскировался под обычный документ, что позволяло легко обмануть пользователя.

Группа APT-C-60 действует с 2021 года, а вредоносное ПО SpyGlace впервые было замечено в июне 2022 года. Согласно данным компании ThreatBook, для создания эксплойта требовались глубокие знания внутреннего устройства WPS Office и особенностей загрузки Windows. Сам эксплойт настолько убедителен, что может обмануть даже опытных пользователей.

Компания Kingsoft, ответственная за разработку WPS Office, сообщила, что уже устранила уязвимость в одном из последних обновлений. Пользователям настоятельно рекомендуется убедиться, что программное обеспечение обновлено до актуальной версии, избегать открытия подозрительных файлов и быть внимательными при работе с документами из неизвестных источников.

Обнаружение этой угрозы подчёркивает важность регулярного обновления программного обеспечения и осторожного отношения к установке сторонних плагинов и приложений.
 
Источник новости
www.securitylab.ru

Похожие темы