Според фирмата за киберсигурност ESET уязвимост от нулев ден в WPS Office е била използвана от хакерска група, свързана с Южна Корея, за разпространение на зловреден софтуер.
Колективът е проследен като APT-C-60, а уязвимостта от типа „нулев ден“ е идентифицирана като CVE-2024-7262. ESET описва APT-C-60 като „свързана с Южна Корея кибершпионска група“.
Експлойтът, който позволява отдалечено изпълнение на код, е бил използван за предоставяне на персонализирана задна врата, наречена SpyGlace, на цели в Източна Азия.
Китайската фирма за киберсигурност DBAPPSecurity наскоро публикува свой собствен анализ на уязвимостта на WPS Office, след като установи, че тя е била използвана за доставяне на зловреден софтуер на потребители в Китай.
Има няколко доклада от китайски компании и правителствени агенции за APT-C-60, която се проследява в страната като Pseudo Hunter. Някои от тези доклади свързват APT с Южна Корея.
Според доклад на ThreatBook от края на 2022 г. APT-C-60 също се е насочвала към структури в Южна Корея.
В сряда ESET съобщи, че в края на февруари във VirusTotal е бил качен зловреден документ, създаден да експлоатира CVE-2024-7262. Нападателите са създали безобидно изглеждащи електронни таблици, настроени да задействат експлойта, когато целевият потребител кликне върху клетка.
Според ESET разработчикът на WPS Office Kingsoft тихомълком е поправил нулевия ден през март 2024 г., когато е пуснал версия 12.1.0.16412. Версиите на софтуера, издадени след август 2023 г., са били засегнати, но само за Windows.
По време на анализа на CVE-2024-7262 ESET откри, че Kingsoft е адресирала само част от дефектния код и уязвимостта все още е използваема. След това доставчикът пусна кръпка за този втори проблем, който се проследява като CVE-2024-7263.
WPS Office е популярен офис пакет, с над 500 милиона активни потребители в световен мащаб, според официалния уебсайт. Това може да го направи ценна цел за разработчиците на експлойти.
ESET е предоставила технически подробности, както и индикатори за компрометиране (IoC) за атаките на APT-C-60.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.