近日，ESET安全研究人員發(fā)現(xiàn)韓國(guó)網(wǎng)絡(luò)間諜組織APT-C-60利用WPS Office Windows版本中的一個(gè)零日代碼執(zhí)行漏洞（CVE-2024-7262），在東亞地區(qū)的目標(biāo)系統(tǒng)中安裝了名為SpyGlace的后門(mén)程序。

WPS Office是中國(guó)金山軟件公司開(kāi)發(fā)的一款生產(chǎn)力套件，在亞洲地區(qū)擁有廣泛的用戶基礎(chǔ)，全球活躍用戶超過(guò)5億。

WPS零日漏洞被野外利用超過(guò)半年

此次曝光的CVE-2024-7262漏洞，涉及WPS Office對(duì)自定義協(xié)議處理程序（如'ksoqing://'）的處理方式不當(dāng)，使攻擊者能夠通過(guò)惡意URL在文檔中執(zhí)行外部應(yīng)用程序。這一漏洞自2024年2月下旬以來(lái)已在野外被利用，影響了從2023年8月發(fā)布的12.2.0.13110版本到2024年3月發(fā)布的12.1.0.16412版本。

APT-C-60在攻擊中使用了惡意超鏈接，隱藏在圖片下方，誘使用戶點(diǎn)擊。點(diǎn)擊后，會(huì)執(zhí)行特定插件（promecefpluginhost.exe），加載惡意DLL文件（ksojscore.dll），最終下載并執(zhí)行SpyGlace后門(mén)程序。

APT-C-60攻擊路徑

SpyGlace是一個(gè)后門(mén)程序，根據(jù)Threatbook此前的分析報(bào)告，APT-C-60曾在攻擊人力資源和貿(mào)易相關(guān)組織時(shí)使用過(guò)SpyGlace。

補(bǔ)丁不完善導(dǎo)致新的漏洞

更為嚴(yán)重的是，ESET的研究人員在調(diào)查APT-C-60的攻擊時(shí)，還發(fā)現(xiàn)了另一個(gè)相關(guān)的任意代碼執(zhí)行漏洞（CVE-2024-7263）。這個(gè)漏洞是由于金山軟件對(duì)CVE-2024-7262修補(bǔ)不完全導(dǎo)致的，某些參數(shù)如'CefPluginPathU8'未得到充分驗(yàn)證，攻擊者可能利用這一漏洞再次執(zhí)行惡意代碼。（此漏洞可以在本地或通過(guò)網(wǎng)絡(luò)共享進(jìn)行利用）

盡管研究人員尚未觀察到APT-C-60或其他攻擊者利用CVE-2024-7263在野外發(fā)動(dòng)攻擊，但這個(gè)漏洞的存在意味著在足夠的時(shí)間內(nèi)，攻擊者可能會(huì)發(fā)現(xiàn)并利用這一安全缺口。

漏洞披露時(shí)間線

以下為ESET官方博客（按照其與金山協(xié)調(diào)的漏洞披露政策）公布的自武器化文檔上傳到 VirusTotal至今的時(shí)間線：

• 2024-02-29：CVE-2024-7262的漏洞利用文檔上傳至VirusTotal。
• 2024-03-??：金山發(fā)布了一個(gè)更新，悄悄修補(bǔ)了CVE-2024-7672漏洞，因此 2024-02-29披露的漏洞不再有效。這是通過(guò)分析2024-03至2024-04之間所有可訪問(wèn)的WPS Office 版本后得出的結(jié)論，因?yàn)榻鹕皆趪L試修復(fù)此漏洞時(shí)并未特別提供其操作的精確細(xì)節(jié)。
• 2024-04-30：ESET分析了來(lái)自VirusTotal的惡意文檔，發(fā)現(xiàn)它正在積極利用 CVE-2024-7262，這是文檔首次使用時(shí)的一個(gè)零日漏洞。ESET還發(fā)現(xiàn)WPS的靜默補(bǔ)丁僅解決了部分錯(cuò)誤代碼，其余有缺陷的代碼仍然可被利用。
• 2024-05-25：ESET聯(lián)系了金山軟件，報(bào)告了發(fā)現(xiàn)。雖然第一個(gè)漏洞已經(jīng)修復(fù)，但ESET詢問(wèn)金山軟件是否可以創(chuàng)建CVE條目和/或公開(kāi)聲明，就像對(duì)CVE-2022-24934所做的那樣。
• 2024-05-30：金山軟件承認(rèn)了這些漏洞并告訴ESET會(huì)及時(shí)更新信息。
• 2024-06-17：ESET要求更新。
• 2024-06-22：金山軟件告訴ESET開(kāi)發(fā)團(tuán)隊(duì)仍在努力解決這個(gè)問(wèn)題，并計(jì)劃在即將推出的版本中修復(fù)這個(gè)問(wèn)題。
• 2024-07-31：根據(jù)后續(xù)測(cè)試，ESET發(fā)現(xiàn)CVE-2024-7263已被悄悄修復(fù)，ESET告知金山軟件已預(yù)留并正在準(zhǔn)備CVE-2024-7262和CVE-2024-7263。
• 2024-08-11：DBAPPSecurity團(tuán)隊(duì)獨(dú)立發(fā)布了其調(diào)查結(jié)果。
• 2024-08-15：CVE-2024-7262和CVE-2024-7263發(fā)布。
• 2024-08-16：ESET要求金山軟件進(jìn)行另一次更新。
• 2024-08-22：金山軟件承認(rèn)已于5月底修復(fù)了CVE-2024-7263，這與該公司在2024-06-22聲稱其開(kāi)發(fā)團(tuán)隊(duì)“仍在努力解決該問(wèn)題”的說(shuō)法相矛盾。
• 2024-08-28：金山軟件已承認(rèn)這兩個(gè)漏洞，并已修復(fù)。但是，該公司表示無(wú)意公開(kāi)CVE-2024-7262的野外利用情況，因此ESET決定發(fā)布博客文章警告金山軟件的客戶：由于CVE-2024-7262漏洞野外利用的第三方披露（會(huì)增加漏洞被利用的可能性），他們應(yīng)緊急更新WPS Office。

應(yīng)對(duì)措施與建議

目前，ESET強(qiáng)烈建議WPS Office用戶盡快更新到最新版本，至少升級(jí)到12.2.0.17119版本，以解決這兩個(gè)代碼執(zhí)行漏洞。ESET在報(bào)告中警告：“這個(gè)漏洞非常狡猾，足以誘使任何用戶點(diǎn)擊看似合法的電子表格，攻擊成功率極高。”

結(jié)語(yǔ)

WPS零日漏洞攻擊事件再次提醒我們，在使用流行辦公軟件時(shí)，仍需保持警惕，及時(shí)更新軟件以防范潛在的安全威脅。此外，APT-C-60的攻擊活動(dòng)表明，針對(duì)東南亞地區(qū)的目標(biāo)，網(wǎng)絡(luò)間諜組織正在不斷尋找新的漏洞和更高效的攻擊手段。

有關(guān)APT-C-60活動(dòng)的詳細(xì)入侵指標(biāo)（IoCs）列表，可以訪問(wèn)ESET在GitHub上的項(xiàng)目頁(yè)面獲取。