ESET раскрыла тактику южнокорейских хакеров
Атака разворачивается через зараженную электронную таблицу WPS Office, замаскированную под легитимный документ, который использует формат экспорта MHTML для удаленного выполнения кода. Когда жертвы открывают скомпрометированный файл, скрытая гиперссылка в документе запускает загрузку и выполнение вредоносной библиотеки, что приводит к установке бэкдора SpyGlace.
Несмотря на то, что разработчик WPS Office компания Kingsoft выпустила исправление, специалисты ESET обнаружили, что первоначальное исправление не полностью устраняет уязвимость, рассказав про второй дефект (CVE-2024−7263), связанный с неправильной проверкой ввода.
Дальнейший анализ, проведенный китайской компанией DBAPPSecurity, подтвердил выводы ESET и подтвердил, что APT-C-60 использовала эту уязвимость для доставки вредоносного ПО на цели в Китае.