Южнокорейская кибершпионская группа, известная как APT-C-60, недавно была связана с использованием критической уязвимости нулевого дня в офисном пакете WPS Office. Эта уязвимость позволяла злоумышленникам удалённо исполнять код и внедрять вредоносное ПО, получившее название SpyGlace.
Исследования, проведённые компаниями ESET и DBAPPSecurity, показали, что атаки были направлены на пользователей из Китая и других стран Восточной Азии. Уязвимость, идентифицированная как CVE-2024-7262с оценкой 9.3 по шкале CVSS, связана с неправильной проверкой путей к файлам, предоставленных пользователями. Это открывало возможность для загрузки произвольной библиотеки Windows и выполнения удалённого кода.
APT-C-60 разработала эксплойт, который использует эту уязвимость в форме вредоносного файла таблицы. Этот файл был загружен на VirusTotal в феврале 2024 года и содержал ссылку, активация которой запускала многослойный процесс заражения, приводящий к установке трояна SpyGlace. Вредоносный файл маскировался под обычный документ, что позволяло легко обмануть пользователя.
Группа APT-C-60 действует с 2021 года, а вредоносное ПО SpyGlace впервые было замечено в июне 2022 года. Согласно данным компании ThreatBook, для создания эксплойта требовались глубокие знания внутреннего устройства WPS Office и особенностей загрузки Windows. Сам эксплойт настолько убедителен, что может обмануть даже опытных пользователей.
Обнаружение этой угрозы подчёркивает важность регулярного обновления программного обеспечения и осторожного отношения к установке сторонних плагинов и приложений.