【安全资讯】韩国黑客利用WPS Office零日漏洞部署恶意软件

概要：

韩国网络间谍组织APT-C-60利用WPS Office的零日代码执行漏洞，在东亚目标上安装SpyGlace后门。该漏洞影响了多个版本的WPS Office，Kingsoft在未通知用户的情况下悄悄修补了这一问题。ESET的调查揭示了这一攻击活动的详细情况。

主要内容：

APT-C-60利用CVE-2024-7262漏洞，该漏洞存在于WPS Office处理自定义协议处理程序的方式中，特别是'ksoqing://'协议。由于这些URL的验证和清理不当，攻击者可以通过精心制作的超链接执行任意代码。APT-C-60创建了包含恶意超链接的电子表格文档（MHTML文件），这些超链接隐藏在诱饵图像下，诱使受害者点击，从而触发漏洞利用。

恶意超链接包含一个base64编码的命令，执行特定插件（promecefpluginhost.exe），该插件试图加载包含攻击者代码的恶意DLL（ksojscore.dll）。这个DLL是APT-C-60的下载组件，用于从攻击者的服务器获取最终的有效载荷（TaskControler.dll），即定制的后门SpyGlace。SpyGlace此前被Threatbook分析过，当时APT-C-60使用它攻击人力资源和贸易相关组织。

在调查APT-C-60的攻击时，ESET的研究人员发现了CVE-2024-7263，这是一个影响WPS Office的第二个任意代码执行漏洞，源于CVE-2024-7262的不完整修补。Kingsoft最初的修补尝试增加了对特定参数的验证，但仍有一些参数（如'CefPluginPathU8'）未得到充分保护，允许攻击者再次通过promecefpluginhost.exe指向恶意DLL路径。

ESET建议WPS Office用户尽快升级到最新版本，至少是12.2.0.17119，以解决这两个代码执行漏洞。ESET在报告中警告称，“这一漏洞利用非常狡猾，足以欺骗任何用户点击看似合法的电子表格，同时也非常有效和可靠。”