據(jù)BleepingComputer消息，與韓國有關(guān)的網(wǎng)絡(luò)黑客組織 APT-C-60近期一直在利用 Windows 版 WPS Office 中的零日漏洞，針對東亞地區(qū)目標部署 SpyGlace 后門。

這個被跟蹤為 CVE-2024-7262 的零日漏洞至少自 2024 年 2 月下旬以來就被用于野外攻擊，影響了WPS 12.2.0.13110至12.1.0.16412之間的版本。今年3月，金山軟件已經(jīng)修補了該漏洞。

CVE-2024-7262 存在于軟件處理自定義協(xié)議處理程序的方式中，特別是 "ksoqing://"，允許通過文檔中特制的 URL 執(zhí)行外部應(yīng)用程序。 由于對這些 URL 的驗證和消毒不當，該漏洞允許攻擊者制作惡意超鏈接，從而導致任意代碼執(zhí)行。

APT-C-60 通過創(chuàng)建MHTML 文件，在其中嵌入了隱藏在誘餌圖像下的惡意超鏈接，誘使受害者點擊并觸發(fā)漏洞。

惡意URL 參數(shù)包括一個 base64 編碼命令，用于執(zhí)行一個特定插件 (promecefpluginhost.exe)，該插件會嘗試加載包含攻擊者代碼的惡意 DLL (ksojscore.dll)，該 DLL 作為 APT-C-60 的下載器組件，用于從攻擊者的服務(wù)器（一個名為 "SpyGlace "的自定義后門）獲取最終有效載荷 (TaskControler.dll)。

APT-C-60攻擊概述

此外，研究人員還發(fā)現(xiàn)了另外一個任意代碼執(zhí)行漏洞 CVE-2024-7263，該漏洞出現(xiàn)于針對 CVE-2024-7262的補丁缺陷當中。具體來說，金山軟件雖然增加了對特定參數(shù)的驗證，但一些參數(shù)（如 "CefPluginPathU8"）仍未得到充分保護，從而允許攻擊者再次通過promecefpluginhost.exe指向惡意DLL的路徑。目前該漏洞也于今年5月得到了修補。

由于這兩個漏洞利用具有較高的欺騙性，能誘使任何用戶點擊看起來合法的電子表格，安全專家建議WPS用戶盡快升級至12.2.0.17119以上或最新版本。