-
寻找漏洞:APT-C-60识别并利用了金山WPS Office软件中的一个关键远程代码执行漏洞(CVE-2024-7262),该漏洞允许攻击者上传并执行任意Windows库。 -
制作诱饵文档:攻击者制作了一个带有陷阱的电子表格文档,该文档嵌入了恶意链接,并在2024年2月上传至VirusTotal。 -
诱导点击:该电子表格文档通过图像欺骗用户,使其看起来像是普通的电子表格。文档中的恶意超链接连接到图像,诱导用户点击。 -
触发漏洞利用:用户点击图像中的单元格后,触发漏洞利用,开始多阶段感染序列,目的是传播SpyGlace木马。 -
部署SpyGlace后门:SpyGlace木马以TaskControler.dll的形式存在,具备文件窃取、插件加载和命令执行功能。 -
持续活动:APT-C-60自2021年以来一直活跃,而SpyGlace后门早在2022年6月就已经在野外被发现。 -
利用其他漏洞:APT-C-60还利用了Pidgin消息应用程序的第三方插件ScreenShareOTR(或ss-otr)中的漏洞,该插件包含从C&C服务器下载下一阶段二进制文件的代码,导致DarkGate恶意软件的部署。 -
利用Cradle应用:ESET发现Cradle应用程序中存在与ScreenShareOTR相同的恶意后门代码,该应用程序声称是Signal的开源分支,恶意代码通过运行PowerShell脚本下载并执行。 -
使用数字证书:插件安装程序和Cradle应用程序使用由波兰公司“INTERREX - SP. Z OO”颁发的有效数字证书进行签名,表明攻击者使用不同的方法来传播恶意软件。 APT-C-60的攻击活动展示了其在漏洞开发、社会工程和恶意软件部署方面的复杂性和隐蔽性。
原文始发于微信公众号(网空闲话plus):WPS用户警惕!APT-C-60利用WPS Office漏洞部署SpyGlace后门
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论