WPS Office是由中国金山公司开发的一套办公套件,在亚洲很受欢迎。据报道,它在全球拥有超过5亿活跃用户。
这个被追踪为CVE-2024-7262的零日漏洞至少从2024年2月下旬就开始在野外被利用,但影响的版本从12.2.0.13110(2023年8月)到12.1.0.16412(2024年3月)。
金山在今年3月"悄悄地"修复了这个问题,但没有告知客户该漏洞正被积极利用,这促使发现该攻击活动和漏洞的ESET今天发布了一份详细报告。
除了CVE-2024-7262,ESET的调查还揭示了第二个严重漏洞,被追踪为CVE-2024-7263,金山在2024年5月下旬通过版本12.2.0.17119修复了这个漏洞。
APT-C-60的利用
CVE-2024-7262存在于软件处理自定义协议处理程序的方式中,特别是'ksoqing://'协议,它允许通过文档中特制的URL执行外部应用程序。
由于对这些URL的验证和过滤不当,该漏洞允许攻击者制作恶意超链接,导致任意代码执行。
APT-C-60创建了电子表格文档(MHTML文件),其中嵌入了隐藏在诱饵图像下的恶意超链接,以诱骗受害者点击它们,触发漏洞利用。
处理的URL参数包括一个base64编码的命令,用于执行特定插件(promecefpluginhost.exe),该插件尝试加载包含攻击者代码的恶意DLL (ksojscore.dll)。
这个DLL是APT-C-60的下载器组件,设计用于从攻击者的服务器获取最终有效载荷(TaskControler.dll),这是一个名为'SpyGlace'的自定义后门。
这个被追踪为CVE-2024-7262的零日漏洞至少从2024年2月下旬就开始在野外被利用,但影响的版本从12.2.0.13110(2023年8月)到12.1.0.16412(2024年3月)。
金山在今年3月"悄悄地"修复了这个问题,但没有告知客户该漏洞正被积极利用,这促使发现该攻击活动和漏洞的ESET今天发布了一份详细报告。
除了CVE-2024-7262,ESET的调查还揭示了第二个严重漏洞,被追踪为CVE-2024-7263,金山在2024年5月下旬通过版本12.2.0.17119修复了这个漏洞。
APT-C-60的利用
CVE-2024-7262存在于软件处理自定义协议处理程序的方式中,特别是'ksoqing://'协议,它允许通过文档中特制的URL执行外部应用程序。
由于对这些URL的验证和过滤不当,该漏洞允许攻击者制作恶意超链接,导致任意代码执行。
APT-C-60创建了电子表格文档(MHTML文件),其中嵌入了隐藏在诱饵图像下的恶意超链接,以诱骗受害者点击它们,触发漏洞利用。
处理的URL参数包括一个base64编码的命令,用于执行特定插件(promecefpluginhost.exe),该插件尝试加载包含攻击者代码的恶意DLL (ksojscore.dll)。
这个DLL是APT-C-60的下载器组件,设计用于从攻击者的服务器获取最终有效载荷(TaskControler.dll),这是一个名为'SpyGlace'的自定义后门。
