ESET раскрыла тактику южнокорейских хакеров

ESET обнаружила сложную кампанию кибершпионажа, связанную с южнокорейской APT-группой APT-C-60 и использующую недавно обнаруженную уязвимость нулевого дня в WPS Office для Windows. Дефект, идентифицированный как CVE-2024−7262, был использован для развертывания пользовательского бэкдора, известного как «SpyGlace».

Атака разворачивается через зараженную электронную таблицу WPS Office, замаскированную под легитимный документ, который использует формат экспорта MHTML для удаленного выполнения кода. Когда жертвы открывают скомпрометированный файл, скрытая гиперссылка в документе запускает загрузку и выполнение вредоносной библиотеки, что приводит к установке бэкдора SpyGlace.

Несмотря на то, что разработчик WPS Office компания Kingsoft выпустила исправление, специалисты ESET обнаружили, что первоначальное исправление не полностью устраняет уязвимость, рассказав про второй дефект (CVE-2024−7263), связанный с неправильной проверкой ввода.

Дальнейший анализ, проведенный китайской компанией DBAPPSecurity, подтвердил выводы ESET и подтвердил, что APT-C-60 использовала эту уязвимость для доставки вредоносного ПО на цели в Китае.