韩国黑客组织APT-C-60被发现利用了WPS Office Windows版本的一个零日漏洞(CVE-2024-7262),在东亚目标设备上安装了SpyGlace后门程序。WPS Office,这款由中国公司金山软件开发的生产力软件,在亚洲广受欢迎,全球拥有超过5亿活跃用户。
漏洞背景
这个零日漏洞至少从2024年2月底开始就被用于野外攻击,影响了WPS Office的多个版本,从12.2.0.13110(2023年8月发布)到12.1.0.16412(2024年3月发布)。金山软件在3月悄悄修补了这个漏洞,但并未告知用户该漏洞当时已被积极利用。这一做法促使发现此次攻击活动和相关漏洞的ESET公司发布了一份详细报告。
APT-C-60的利用手段
APT-C-60利用的漏洞存在于WPS Office软件处理自定义协议的方式中,特别是'ksoqing://',它允许通过文档中的特制URL执行外部应用程序。由于这些URL未经适当验证和清理,攻击者可以制作恶意超链接,导致任意代码执行。
APT-C-60创建了含有隐藏在假象图像下的恶意超链接的电子表格文档(MHTML文件),诱使受害者点击,触发了这个漏洞。这些处理过的URL参数包括一个base64编码的命令,用以执行特定的插件(promecefpluginhost.exe),该插件尝试加载包含攻击者代码的恶意DLL文件(ksojscore.dll)。
糟糕的补丁留下安全隐患
ESET的研究人员在调查APT-C-60的攻击时,发现了第二个任意代码执行漏洞CVE-2024-7263,这是CVE-2024-7262的一个不完整补丁导致的问题。金山软件最初尝试解决这个问题时,增加了对特定参数的验证,但像'CefPluginPathU8'这样的一些参数仍然没有得到充分的保护。
安全建议
建议WPS Office用户尽快升级到最新版本,或至少升级到12.2.0.17119版本,以解决这两个代码执行漏洞。ESET在报告中警告说:"这种漏洞非常狡猾,因为它伪装得足够好,可以诱骗任何用户点击看似合法的电子表格,同时它也非常有效和可靠。"
更多信息
有关APT-C-60活动的完整入侵指标(IoCs)列表,请查看这个GitHub仓库。
0条评论