与韩国有关的网络间谍组织APT-C-60一直在利用Windows版WPS Office中的零日代码执行漏洞在东亚目标上安装SpyGlace后门。
WPS Office是中国金山软件开发的一款办公套件,在亚洲非常受欢迎。据报道,它在全球拥有超过5亿活跃用户。
该零日漏洞(CVE-2024-7262)至少自2024年2月下旬以来就已在野外攻击中被利用,但影响的版本从12.2.0.13110(2023年8月)到12.1.0.16412(2024年3月)。
金山毒霸在今年3月“悄悄”地修补了这个问题,并没有告知客户这个漏洞已经被积极利用,促使发现这一活动和漏洞的ESET今天发布了一份详细的报告。
除了CVE-2024-7262之外,ESET的研究还发现了第二个严重漏洞,追踪为CVE-2024-7263,金山毒霸于2024年5月下旬使用版本12.2.0.17119修补了该漏洞。
APT-C-60 漏洞利用
CVE-2024-7262存在于软件处理自定义协议处理程序的方式中,特别是“ksoqing://”,它允许通过文档内特制的URL执行外部应用程序。
由于对这些URL的验证和清理不当,该漏洞允许攻击者制作导致任意代码执行的恶意超链接。
APT-C-60创建了电子表格文档(MHTML文件),其中嵌入了隐藏在诱饵图像下的恶意超链接,以诱骗受害者点击它们,从而触发漏洞。
处理后的URL参数包括一个base64编码的命令,用于执行特定插件(promecefpluginhost.exe),该插件试图加载包含攻击者代码的恶意DLL(ksojscore.dll)。
该DLL是APT-C-60的下载器组件,用于从攻击者的服务器获取最终的有效负载(TaskControler.dll),这是一个名为“SpyGlace”的自定义后门。
SpyGlace是一个后门,Threatbook之前曾分析过,APT-C-60曾在攻击人力资源和贸易相关组织时使用它。
不完美的补丁留下再次被利用的漏洞
在调查APT-C-60的攻击时,ESET的研究人员发现了CVE-2024-7263,这是影响WPS Office的第二个任意代码执行漏洞,它是CVE-2024-7262的不完整补丁。
具体来说,金山毒霸最初尝试解决该问题时添加了对特定参数的验证。然而,某些参数(如“CefPluginPathU8”)仍未得到充分保护,这导致攻击者再次通过promecefpluginhost.exe指向恶意DLL的路径。
ESET解释说,此漏洞可以在本地或通过网络共享进行利用,恶意DLL可以托管在那里。
尽管存在这种可能性,但研究人员并未观察到APT-C-60或任何其他攻击者在野利用该漏洞。不过,只要有足够的时间,他们不难发现金山毒霸补丁留下的安全漏洞。
建议WPS Office用户尽快升级到最新版本,至少升级到12.2.0.17119,以解决这两个代码执行缺陷。
ESET在报告中警告说:“这种漏洞非常狡猾,因为它具有足够的欺骗性,可以诱骗任何用户点击看似合法的电子表格,同时还非常有效和可靠。”
“选择MHTML文件格式使得攻击者能够将代码执行漏洞转变为远程漏洞。”
查看此GitHub存储库,获取与APT-C-60活动相关的完整妥协指标(IoC)列表。
ESET近年来发现了多个恶意软件传播链条,曾发现黑客利用谷歌广告传播伪装成流行应用程序的FatalRAT恶意软件。