近日，ESET安全研究人員發(fā)現(xiàn)韓國網絡間諜組織APT-C-60利用WPS Office Windows版本中的一個零日代碼執(zhí)行漏洞（CVE-2024-7262），在東亞地區(qū)的目標系統(tǒng)中安裝了名為SpyGlace的后門程序。

WPS Office是中國金山軟件公司開發(fā)的一款生產力套件，在亞洲地區(qū)擁有廣泛的用戶基礎，全球活躍用戶超過5億。

WPS零日漏洞被野外利用超過半年

此次曝光的CVE-2024-7262漏洞，涉及WPS Office對自定義協(xié)議處理程序（如'ksoqing://'）的處理方式不當，使攻擊者能夠通過惡意URL在文檔中執(zhí)行外部應用程序。這一漏洞自2024年2月下旬以來已在野外被利用，影響了從2023年8月發(fā)布的12.2.0.13110版本到2024年3月發(fā)布的12.1.0.16412版本。

APT-C-60在攻擊中使用了惡意超鏈接，隱藏在圖片下方，誘使用戶點擊。點擊后，會執(zhí)行特定插件（promecefpluginhost.exe），加載惡意DLL文件（ksojscore.dll），最終下載并執(zhí)行SpyGlace后門程序。

APT-C-60攻擊路徑

SpyGlace是一個后門程序，根據(jù)Threatbook此前的分析報告，APT-C-60曾在攻擊人力資源和貿易相關組織時使用過SpyGlace。

補丁不完善導致新的漏洞

更為嚴重的是，ESET的研究人員在調查APT-C-60的攻擊時，還發(fā)現(xiàn)了另一個相關的任意代碼執(zhí)行漏洞（CVE-2024-7263）。這個漏洞是由于金山軟件對CVE-2024-7262修補不完全導致的，某些參數(shù)如'CefPluginPathU8'未得到充分驗證，攻擊者可能利用這一漏洞再次執(zhí)行惡意代碼。（此漏洞可以在本地或通過網絡共享進行利用）

盡管研究人員尚未觀察到APT-C-60或其他攻擊者利用CVE-2024-7263在野外發(fā)動攻擊，但這個漏洞的存在意味著在足夠的時間內，攻擊者可能會發(fā)現(xiàn)并利用這一安全缺口。

漏洞披露時間線

以下為ESET官方博客（按照其與金山協(xié)調的漏洞披露政策）公布的自武器化文檔上傳到 VirusTotal至今的時間線：

• 2024-02-29：CVE-2024-7262的漏洞利用文檔上傳至VirusTotal。
• 2024-03-??：金山發(fā)布了一個更新，悄悄修補了CVE-2024-7672漏洞，因此 2024-02-29披露的漏洞不再有效。這是通過分析2024-03至2024-04之間所有可訪問的WPS Office 版本后得出的結論，因為金山在嘗試修復此漏洞時并未特別提供其操作的精確細節(jié)。
• 2024-04-30：ESET分析了來自VirusTotal的惡意文檔，發(fā)現(xiàn)它正在積極利用 CVE-2024-7262，這是文檔首次使用時的一個零日漏洞。ESET還發(fā)現(xiàn)WPS的靜默補丁僅解決了部分錯誤代碼，其余有缺陷的代碼仍然可被利用。
• 2024-05-25：ESET聯(lián)系了金山軟件，報告了發(fā)現(xiàn)。雖然第一個漏洞已經修復，但ESET詢問金山軟件是否可以創(chuàng)建CVE條目和/或公開聲明，就像對CVE-2022-24934所做的那樣。
• 2024-05-30：金山軟件承認了這些漏洞并告訴ESET會及時更新信息。
• 2024-06-17：ESET要求更新。
• 2024-06-22：金山軟件告訴ESET開發(fā)團隊仍在努力解決這個問題，并計劃在即將推出的版本中修復這個問題。
• 2024-07-31：根據(jù)后續(xù)測試，ESET發(fā)現(xiàn)CVE-2024-7263已被悄悄修復，ESET告知金山軟件已預留并正在準備CVE-2024-7262和CVE-2024-7263。
• 2024-08-11：DBAPPSecurity團隊獨立發(fā)布了其調查結果。
• 2024-08-15：CVE-2024-7262和CVE-2024-7263發(fā)布。
• 2024-08-16：ESET要求金山軟件進行另一次更新。
• 2024-08-22：金山軟件承認已于5月底修復了CVE-2024-7263，這與該公司在2024-06-22聲稱其開發(fā)團隊“仍在努力解決該問題”的說法相矛盾。
• 2024-08-28：金山軟件已承認這兩個漏洞，并已修復。但是，該公司表示無意公開CVE-2024-7262的野外利用情況，因此ESET決定發(fā)布博客文章警告金山軟件的客戶：由于CVE-2024-7262漏洞野外利用的第三方披露（會增加漏洞被利用的可能性），他們應緊急更新WPS Office。

應對措施與建議

目前，ESET強烈建議WPS Office用戶盡快更新到最新版本，至少升級到12.2.0.17119版本，以解決這兩個代碼執(zhí)行漏洞。ESET在報告中警告：“這個漏洞非常狡猾，足以誘使任何用戶點擊看似合法的電子表格，攻擊成功率極高?！?/p>

結語

WPS零日漏洞攻擊事件再次提醒我們，在使用流行辦公軟件時，仍需保持警惕，及時更新軟件以防范潛在的安全威脅。此外，APT-C-60的攻擊活動表明，針對東南亞地區(qū)的目標，網絡間諜組織正在不斷尋找新的漏洞和更高效的攻擊手段。

有關APT-C-60活動的詳細入侵指標（IoCs）列表，可以訪問ESET在GitHub上的項目頁面獲取。