韩国APT-C-60组织利用WPS Office零日漏洞攻击东亚国家

admin 2024年9月10日13:53:05评论43 views字数 1572阅读5分14秒阅读模式

大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号现在只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【...】,然后点击【设为星标】即可。

近日,一起涉及韩国APT组织的重大网络攻击事件引发了广泛关注。据网络安全研究人员披露,韩国关联的APT-C-60组织利用了WPS Office中的一个零日漏洞(CVE-2024-7262),对东亚多个国家的目标系统进行了网络攻击,并成功部署了名为SpyGlace的后门程序。这一事件再次敲响了网络安全的警钟。

WPS Office:亚太地区广泛使用的办公软件

WPS Office是一款由中国金山软件公司开发的综合办公套件,广泛应用于亚洲地区。凭借其强大的文档、电子表格、演示文稿和PDF管理功能,WPS Office吸引了全球超过5亿的活跃用户,成为办公软件市场的重要一员。

然而,正是这种广泛的使用,使得WPS Office成为了黑客组织的攻击目标。韩国APT-C-60组织正是利用了WPS Office的一个零日漏洞,发动了此次大规模的网络攻击。

CVE-2024-7262:隐藏在WPS Office中的致命漏洞

CVE-2024-7262漏洞源于WPS Office在处理URL验证和清理时的不足。研究发现,Windows版WPS Office在安装时会注册一个名为`ksoqing`的自定义协议处理程序。当用户点击以`ksoqing://`开头的URL时,该处理程序会执行外部应用程序,这一过程在Windows系统的注册表中得以实现。

APT-C-60组织正是利用这一机制,通过精心构造的恶意超链接,向目标系统植入了带有base64编码命令的URL参数。这些参数会诱导WPS Office执行特定的插件,从而从攻击者的服务器下载并加载恶意DLL文件,即SpyGlace后门。

SpyGlace后门:APT-C-60的隐秘武器

韩国APT-C-60组织利用WPS Office零日漏洞攻击东亚国家

SpyGlace后门是一种高度隐蔽的恶意软件,能够为攻击者提供对受害者系统的远程控制。APT-C-60组织此前曾使用SpyGlace对人力资源和贸易相关的组织发动过攻击,显示出该组织对经济和政治目标的高度关注。

此次攻击中,APT-C-60通过伪装成看似合法的WPS电子表格文件,引诱受害者点击恶意链接。攻击者还利用了MHTML文件格式,将代码执行漏洞转化为远程漏洞,使得SpyGlace后门能够顺利部署在目标系统中。

安全建议:及时更新,防患未然

针对这一严重漏洞,安全专家强烈建议WPS Office用户尽快将软件更新至最新版本,至少为12.2.0.17119,以避免受到此类攻击的威胁。ESET的研究人员进一步强调了这一漏洞的严重性,并指出APT-C-60组织的攻击手段非常高明,用户稍有不慎就可能成为受害者。

总结:网络安全无小事,用户需警惕

此次APT-C-60组织利用WPS Office漏洞发动的网络攻击,再次提醒我们,网络安全无小事。随着网络攻击手段的不断升级,用户和企业必须时刻保持警惕,及时更新软件并加强防护措施,才能有效抵御来自黑客组织的威胁。

在这个数字化迅速发展的时代,每一次漏洞的出现都可能引发一场大规模的网络攻击。我们呼吁所有WPS Office用户立即检查并更新软件版本,确保系统安全。同时,企业应加强对员工的网络安全培训,提升整体安全意识,共同抵御网络攻击的威胁。

近期将在知识星球连载个人创作"全球高级持续威胁:网络世界的隐形战争",总共26章,相信能够为你带来不一样的世界认知,欢迎感兴趣的朋友加入沟通交流。

韩国APT-C-60组织利用WPS Office零日漏洞攻击东亚国家

欢迎喜欢文章的朋友点赞、转发、赞赏,你的每一次鼓励,都是我继续前进的动力。

原文始发于微信公众号(紫队安全研究):韩国APT-C-60组织利用WPS Office零日漏洞攻击东亚国家

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月10日13:53:05
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   韩国APT-C-60组织利用WPS Office零日漏洞攻击东亚国家https://cn-sec.com/archives/3138798.html

发表评论

匿名网友 填写信息