韩国黑客组织利用WPS Office 0day部署恶意程序,企图于东亚组织植入后门SpyGlace

| 分类: 业界八卦 | 热度: 51 ℃

韩国黑客组织APT-C-60被发现利用了WPS Office Windows版本的一个零日漏洞(CVE-2024-7262),在东亚目标设备上安装了SpyGlace后门程序。WPS Office,这款由中国公司金山软件开发的生产力软件,在亚洲广受欢迎,全球拥有超过5亿活跃用户。

漏洞背景

这个零日漏洞至少从2024年2月底开始就被用于野外攻击,影响了WPS Office的多个版本,从12.2.0.13110(2023年8月发布)到12.1.0.16412(2024年3月发布)。金山软件在3月悄悄修补了这个漏洞,但并未告知用户该漏洞当时已被积极利用。这一做法促使发现此次攻击活动和相关漏洞的ESET公司发布了一份详细报告。

APT-C-60的利用手段

APT-C-60利用的漏洞存在于WPS Office软件处理自定义协议的方式中,特别是'ksoqing://',它允许通过文档中的特制URL执行外部应用程序。由于这些URL未经适当验证和清理,攻击者可以制作恶意超链接,导致任意代码执行。

APT-C-60创建了含有隐藏在假象图像下的恶意超链接的电子表格文档(MHTML文件),诱使受害者点击,触发了这个漏洞。这些处理过的URL参数包括一个base64编码的命令,用以执行特定的插件(promecefpluginhost.exe),该插件尝试加载包含攻击者代码的恶意DLL文件(ksojscore.dll)。

韩国黑客组织利用WPS Office 0day部署恶意程序,企图于东亚组织植入后门SpyGlace

糟糕的补丁留下安全隐患

ESET的研究人员在调查APT-C-60的攻击时,发现了第二个任意代码执行漏洞CVE-2024-7263,这是CVE-2024-7262的一个不完整补丁导致的问题。金山软件最初尝试解决这个问题时,增加了对特定参数的验证,但像'CefPluginPathU8'这样的一些参数仍然没有得到充分的保护。

安全建议

建议WPS Office用户尽快升级到最新版本,或至少升级到12.2.0.17119版本,以解决这两个代码执行漏洞。ESET在报告中警告说:"这种漏洞非常狡猾,因为它伪装得足够好,可以诱骗任何用户点击看似合法的电子表格,同时它也非常有效和可靠。"

更多信息

有关APT-C-60活动的完整入侵指标(IoCs)列表,请查看这个GitHub仓库

WPS
声明: 猎游人 每天为你带来最新的游戏和硬件打折情报,帮你精心挑选值得玩的游戏,让您的钱花的更值!本站信息大部分来自于网友爆料,如果您发现了优质的游戏或好的价格,不妨爆料给我们吧(谢绝任何商业爆料)!

0条评论

Hi,您需要填写昵称和邮箱!
姓名 (必填)
邮箱 (必填)
网站

暂时木有评论