韩国黑客组织正利用WPS Office漏洞部署恶意软件

据BleepingComputer消息，黑客组织 APT-C-60 近期一直在利用Windows 版 WPS Office 的0day部署 SpyGlace 后门。

被韩国黑客组织APT-C-60利用的零日漏洞被追踪为 CVE-2024-7262，金山软件在2024年03月时发布更新修复该漏洞。

该漏洞影响的 Windows 版 WPS Office 的版本号从 12.2.0.13110（2023 年 8 月）到 12.1.0.16412（2024 年 3 月）。

WPS Office 在东亚地区拥有海量用户，2024年02月下旬以来，该漏洞被黑客利用针对东亚用户部署 SpyGlace 后门。

CVE-2024-7262存在于软件处理自定义协议处理程序方式中，其中 ksoqing:// 允许文档中嵌入特制URL执行外部应用。

APT-C-60 黑客组织创建了 MHTML 文档并在其中嵌入隐藏在诱饵图像下的恶意超链接，诱使受害者点击并触发漏洞。

恶意文档（SHA-1:7509 b4c 506 c 01627 C1 a4c 396161d 07277 f 044 AC 6）来自常用的XLS表格格式MHTML导出。

其隐藏的特制的恶意 URL 参数包括一个 base64 编码命令，能够用于执行一个特定插件（promecefpluginhost.exe）。

该插件会尝试加载包含攻击者代码的恶意 DLL（ksojscore.dll），这个恶意的 DLL 将被作为 APT-C-60 的下载器组件。

该下载组件则用于从攻击者的服务器（一个名为 "SpyGlace "的自定义后门）获取最终有效载荷（TaskControler.dll）。

非常规的 MHTML 文件格式允许文件一打开就被下载，黑客正式在利用漏洞的同时利用这种技术提供了远程代码执行。

_{图片来源：bleepingcomputer}

金山软件在2024年03月时发布补丁版本 12.2.0.16909 以修复此 CVE-2024-7262 漏洞，但后续被发现修复不够彻底。

ESET 发现第二个任意代码执行高危漏洞 CVE-2024-7263，影响12.2.0.13110至12.2.0.17153（不含17153）之间版本。

该漏洞利用 CVE-2024-7262 修复过程中忽略的参数使黑客绕过安全措施，再次加载并执行任意Windows系统库文件。

金山软件在2024年05月时及时修复CVE-2024-7263漏洞，这两个漏洞具有较高的欺骗性很容易被黑客利用导致中招。

DBAPPSecurity 公司独立发布一份针对武器化漏洞的分析，确认 APT-C-60 已利用相关漏洞向中国用户发送恶意软件。

因此安全专家建议 WPS 用户尽可能快的升级到 v12.2.0.17119 及以上版本，避免遭遇韩国黑客组织APT-C-60的攻击。

当然打铁还需自身硬，作为普通用户来说，我们更需要避免打开来源不明的文件，尤其是电子表格和文档，防止中招。

CVE-2024-7262

影响范围：该漏洞影响 WPS Office 版本 12.2.0.13110至12.2.0.13489之间的所有版本。

利用方式：攻击者通过分发带有恶意代码的电子表格文档来触发该漏洞，实现“单击即中”的远程代码执行攻击。

危害影响：可能导致数据失窃、勒索软件感染或系统破坏。目前该漏洞已被武器化并被用于分发欺骗性电子表格文档。

CVE-2024-7263

影响范围：该漏洞影响 WPS Office 版本从12.2.0.13110至12.2.0.17153（不包括17153）之间的版本。

利用方式：利用 CVE-2024-7262 修复时忽略的参数，使黑客绕过安全措施再次加载并执行任意Windows系统库文件。

危害影响：与 CVE-2024-7262 相似，也可能导致数据失窃、勒索软件感染或系统破坏。

翻译工具：搜狗翻译

参考资料：

https://www.welivesecurity.com/en/eset-research/analysis-of-two-arbitrary-code-execution-vulnerabilities-affecting-wps-office/

https://www.bleepingcomputer.com/news/security/apt-c-60-hackers-exploited-wps-office-zero-day-to-deploy-spyglace-malware/