Група кібершпигунів, пов’язана з Південною Кореєю, використала уразливість нульового дня в Kingsoft WPS Office для розповсюдження бекдора SpyGlace. Уразливість CVE-2024-7262, що вже була виправлена, дозволяла віддалене виконання коду, що становить серйозну загрозу для користувачів у Китаї та Східній Азії.
APT-C-60, група кібершпигунів, яку пов’язують з Південною Кореєю, використовувала уразливість нульового дня в Kingsoft WPS Office для впровадження бекдора під назвою SpyGlace. Уразливість, відома як CVE-2024-7262, мала високий рівень небезпеки з оцінкою CVSS 9.3. Вона виникла через відсутність належної перевірки шляхів файлів, що дозволяло зловмисникам завантажувати довільні бібліотеки Windows і виконувати код віддалено. Ця атака втілювалась у вигляді небезпечного електронного документа, який при відкритті запускав багатоступеневу інфекцію для розповсюдження шкідливого ПЗ.
SpyGlace, вперше виявлений у червні 2022 року, володіє широкими можливостями, включаючи викрадення файлів, завантаження плагінів і виконання команд. Інші шкідливі активності APT-60 включають використання уразливостей у плагінах для повідомлень і додатках з відкритим кодом для подальшого розповсюдження DarkGate і інших шкідливих програм.
APT-60 активна з 2021 року, і її діяльність здебільшого спрямована на користувачів з Китаю та Східної Азії. Ця група використовує як розроблені власноруч, так і придбані експлойти для досягнення своїх цілей. Уразливі програми, як правило, маскуються під звичайні документи або плагіни для популярних додатків, що робить їх особливо небезпечними.
Зловмисники продовжують використовувати складні техніки для розповсюдження шкідливого ПЗ серед широкої аудиторії. Користувачам настійно рекомендується своєчасно оновлювати програмне забезпечення та бути обережними з підозрілими документами та додатками, особливо тими, що походять з ненадійних джерел.