0day в WPS Office: как APT-C-60 превращает один файл в цифровое оружие

Южнокорейская кибершпионская группа, известная как APT-C-60, недавно была связана с использованием критической уязвимости нулевого дня в офисном пакете WPS Office. Эта уязвимость позволяет злоумышленникам удалённо исполнять код и внедрять вредоносное ПО, получившее название SpyGlace.

Исследования, проведённые компаниями ESET и DBAPPSecurity, показали, что атаки были направлены на пользователей из Китая и других стран Восточной Азии. Уязвимость, идентифицированная как CVE-2024-7262 с оценкой 9.3 по шкале CVSS, связана с неправильной проверкой путей к файлам, предоставленных пользователями. Это открывало возможность для загрузки произвольной библиотеки Windows и выполнения удалённого кода.

APT-C-60 разработала эксплойт, который использует эту уязвимость в форме вредоносного файла таблицы. Этот файл был загружен на VirusTotal в феврале 2024 года и содержал ссылку, активация которой запускала многослойный процесс заражения, приводящий к установке трояна SpyGlace. Вредоносный файл маскировался под обычный документ, что позволяло легко обмануть пользователя.

Группа APT-C-60 действует с 2021 года, а вредоносное ПО SpyGlace впервые было замечено в июне 2022 года. Согласно данным компании ThreatBook, для создания эксплойта требовались глубокие знания внутреннего устройства WPS Office и особенностей загрузки Windows. Сам эксплойт настолько убедителен, что может обмануть даже опытных пользователей.

Компания Kingsoft, ответственная за разработку WPS Office, сообщила, что уже устранила уязвимость в одном из последних обновлений. Пользователям настоятельно рекомендуется убедиться, что программное обеспечение обновлено до актуальной версии, избегать открытия подозрительных файлов и быть внимательными при работе с документами из неизвестных источников.

Обнаружение этой угрозы подчёркивает важность регулярного обновления программного обеспечения и осторожного отношения к установке сторонних плагинов и приложений.