网络安全公司 ESET 称,与韩国有关的网络间谍组织 APT-C-60 利用 Windows 版 WPS Office 中的0day漏洞在东亚目标上安装 SpyGlace 后门。
WPS Office 是中国金山软件开发的一款办公套件,在亚洲非常受欢迎。据报道,它在全球拥有超过 5 亿活跃用户。
该黑客组织被追踪为 APT-C-60,0day漏洞编号为 CVE??2024?-?7262。ESET 将 APT-C-60 描述为“与韩国结盟的网络间谍组织”。
该漏洞允许远程代码执行,已被用来向东亚目标投放名为 SpyGlace 的自定义后门。该0day漏洞 (CVE-2024-7262) 至少自 2024 年 2 月下旬以来就已在野外攻击中被利用,影响的版本从 12.2.0.13110(2023 年 8 月)到 12.1.0.16412(2024 年 3 月)。
CVE-2024-7262 存在于软件处理自定义协议处理程序的方式中,特别是“ksoqing://”,它允许通过文档内特制的 URL 执行外部应用程序。
由于对这些 URL 的验证和清理不当,该漏洞允许攻击者制作导致任意代码执行的恶意超链接。
APT-C-60 创建了电子表格文档(MHTML 文件),其中嵌入了隐藏在诱饵图像下的恶意超链接,以诱骗受害者点击它们,从而触发漏洞。
处理后的 URL 参数包括一个 base64 编码的命令,用于执行特定插件 (promecefpluginhost.exe),该插件试图加载包含攻击者代码的恶意 DLL (ksojscore.dll)。
该DLL是APT-C-60的下载器组件,用于从攻击者的服务器获取最终的有效负载(TaskControler.dll),这是一个名为“SpyGlace”的自定义后门。
攻击链
中国网络安全公司安恒信息(DBAPPSecurity)最近发布了对 WPS Office 漏洞的分析(https://ti.dbappsecurity.com.cn/info/6910),此前该公司确定该漏洞已被利用来向中国用户传播恶意软件。
SecurityWeek已经看到中国公司和政府机构发布的多份有关 APT-C-60 的报告,该组织在中国被追踪为“伪猎人”。其中一些报告将该 APT 与韩国联系起来。
根据2022 年底ThreatBook(微步在线) 的一份报告(https://threatbook.io/blog/Analysis-of-APT-C-60-Attack-on-South-Korea),APT-C-60 还针对了韩国的实体。
ESET 周三报告(https://www.welivesecurity.com/en/eset-research/analysis-of-two-arbitrary-code-execution-vulnerabilities-affecting-wps-office/)称,2 月底,一份利用 CVE-2024-7262 漏洞的恶意文档被上传到 VirusTotal。攻击者创建了看似无害的电子表格,当目标用户点击单元格时触发漏洞。
诱饵文档嵌入了一张隐藏恶意超链接的图片
关于此漏洞的另一个有趣的事实是,它也可以通过在 Windows 资源管理器的预览窗格中单击来触发,这使得它更加危险。
据 ESET 称,WPS Office 开发商金山在 2024 年 3 月发布版本 12.1.0.16412 时修补了该0day漏洞。自 2023 年 8 月以来发布的软件版本均受到影响,但仅限于 Windows。
在对 CVE-2024-7262 进行分析时,ESET 发现开发商只修复了部分错误代码,该漏洞仍然可被利用。随后,该供应商发布了针对第二个漏洞的补丁,补丁编号为 CVE-2024-7263。
WPS Office 是一款流行的办公套件,根据官方网站的数据,其全球活跃用户超过 5 亿。这使其成为漏洞利用开发人员的一个有价值的目标。
安全专家建议所有WPS 用户应尽快将软件更新到最新版本。
ESET 提供了APT-C-60 攻击的技术细节以及攻击检测指标 ( IoC ),参考链接:https://github.com/eset/malware-ioc/tree/master/apt_c_60
