Главная страница » IOC
0
7 месяцев
IOC

APT-C-60 APT IOCs

security

Исследователи ESET обнаружили уязвимость уязвимость выполнения кода в WPS Office для Windows (CVE-2024-7262) и установили, что она была использована группой APT-C-60, связанной с Южной Кореей, для атак на страны Восточной Азии. После анализа уязвимости, был найден еще один способ ее эксплуатации (CVE-2024-7263). Обе уязвимости были исправлены после координации со стороны исследователей и компании WPS Office.

APT-C-60

APT-C-60 использовала уязвимость CVE-2024-7262 в электронных таблицах WPS Office для Windows для доставки вредоносного ПО пользователям в Восточной Азии. Для эксплуатации уязвимости использовался документ с ссылкой на один из компонентов APT-C-60. После анализа дефектного кода, исследователи обнаружили альтернативный путь его использования (CVE-2024-7263). Это позволяло группе APT-C-60 продолжать атаковать, даже после исправления уязвимости CVE-2024-7262.

Уязвимость в WPS Office для Windows была особенно опасна, так как это популярное программное обеспечение с более чем 500 миллионами активных пользователей по всему миру. Имея такое большое число пользователей, WPS Office стал привлекательной целью для APT-C-60 и был использован для проведения широкомасштабных атак на страны Восточной Азии.

С помощью специально созданной и скрытой гиперссылки в документе MHTML, APT-C-60 обеспечивала удаленное выполнение кода в WPS Spreadsheet. Это позволяло группе доставлять вредоносное ПО на компьютеры пользователей. На первый взгляд, документ выглядел как обычная электронная таблица с изображением строк и столбцов, но содержал скрытую гиперссылку, которая запускала выполнение произвольной библиотеки.

После обнаружения уязвимостей, исследователи сотрудничали с DBAPPSecurity и компанией Kingsoft, разработчиком WPS Office, для исправления данных уязвимостей. В результате скоординированного процесса раскрытия информации обе уязвимости были исправлены. Однако, компания Kingsoft не была открыта в предоставлении деталей о своих действиях для устранения уязвимостей.

Indicators of Compromise

IPv4

  • 131.153.206.231
  • 162.222.214.48

Domains

  • rammenale.com

SHA1

  • 08906644b0ef1ee6478c45a6e0dd28533a9efc29
  • 7509b4c506c01627c1a4c396161d07277f044ac6
Комментарии: 0
Похожие записи
0
3 дня
IOC

APT-группа ToddyCat использует уязвимость в ESET для проксирования DLL-файлов

security
Группы APT используют различные методы обхода защитных систем, чтобы скрыть свою деятельность в зараженных системах. Одним из таких методов является использование руткитов на уровне ядра в системах Windows.
0
3 дня
IOC

Lazarus расширяет вредоносную кампанию npm: 11 новых пакетов добавляют загрузчики вредоносного ПО и полезную нагрузку Bitbucket

security
Группа злоумышленников Contagious Interview, предположительно связанная с Северной Кореей и известная как Lazarus Group, продолжает свою вредоносную кампанию, расширяя свое присутствие в экосистеме npm.
0
7 дней
IOC

EncryptHub APT IOCs - Part 2

security
Угроза EncryptHub обнародована, когда команда разведки угроз KrakenLabs и Outpost24 провели исследование о его деятельности. EncryptHub стал все более популярным и развивающимся киберпреступником.
0
9 дней
IOC

Партнеры Qilin атаковали администратора MSP ScreenConnect, нацеливаясь на клиентов.

security
В январе 2025 года администратор поставщика управляемых услуг (MSP) получил фишинговое письмо, представлявшее собой предупреждение об аутентификации для удаленного мониторинга и управления (RMM) инструмента ScreenConnect.