与韩国有关联的组织 APT-C-60 利用了 WPS Office 零日漏洞
与韩国有关联的组织 APT-C-60 利用 Windows 版 WPS Office 中的零日漏洞来瞄准东亚国家。与韩国有关联的组织 APT-C-60 利用 Windows 版 WPS Office 中的零日漏洞(跟踪为 CVE-2024-7262),在东亚目标的系统中部署 SpyGlace 后门。WPS Office 是由中国软件公司金山软件开发的一款综合办公生产力套件,在亚洲得到广泛使用。它为用户提供了一系列用于创建、编辑和管理文档、电子表格、演示文稿和 PDF 的工具。根据 WPS 网站,WPS Office 在全球拥有超过 5 亿活跃用户,ESET 研究人员在 WPS Office for Windows 中发现了该漏洞以及利用该漏洞的另一种方法 CVE-2924-7263。SpyGlace 后门被 ThreatBook 公开列为 TaskControler.dll。该漏洞源于 WPS Office 中对 URL 的验证和清理不当,允许攻击者创建恶意超链接。根本原因分析显示,安装 WPS Office for Windows 后,它会注册一个名为 的自定义协议处理程序。此处理程序允许在用户单击以 URI 方案开头的 URL 时执行外部应用程序。在 Windows 中,此注册在系统注册表中完成。具体而言,注册表项配置为执行特定的 WPS Office 可执行文件 (),其参数包含完整 URL。此机制使 WPS Spreadsheet 应用程序能够在用户使用该协议与超链接交互时启动外部应用程序。ksoqingksoqing://HKCR\ksoqing\shell\open\commandwps.exeksoqingAPT-C-60 的攻击涉及处理包含 base64 编码命令的 URL 参数以执行特定插件,从而导致从攻击者的服务器加载用作自定义后门“SpyGlace”加载器的恶意 DLL。APT-C-60 已将 SpyGlace 用于以前针对人力资源和贸易相关组织的攻击。强烈建议用户更新到最新版本的 WPSOffice,至少为 12.2.0.17119,以缓解这些代码执行漏洞。ESET 强调了该漏洞利用的有效性,指出它能够使用看起来合法的电子表格欺骗用户,并使用 MHTML 文件格式将代码执行缺陷转化为远程漏洞利用。
页:
[1]