导 读
网络安全公司 ESET 称,与韩国有关的网络间谍组织 APT-C-60 利用 Windows 版 WPS Office 中的0day漏洞在东亚目标上安装 SpyGlace 后门。
WPS Office 是中国金山软件开发的一款办公套件,在亚洲非常受欢迎。据报道,它在全球拥有超过 5 亿活跃用户。
该黑客组织被追踪为 APT-C-60,0day漏洞编号为 CVE2024-7262。ESET 将 APT-C-60 描述为“与韩国结盟的网络间谍组织”。
该漏洞允许远程代码执行,已被用来向东亚目标投放名为 SpyGlace 的自定义后门。该0day漏洞 (CVE-2024-7262) 至少自 2024 年 2 月下旬以来就已在野外攻击中被利用,影响的版本从 12.2.0.13110(2023 年 8 月)到 12.1.0.16412(2024 年 3 月)。
CVE-2024-7262 存在于软件处理自定义协议处理程序的方式中,特别是“ksoqing://”,它允许通过文档内特制的 URL 执行外部应用程序。
由于对这些 URL 的验证和清理不当,该漏洞允许攻击者制作导致任意代码执行的恶意超链接。
APT-C-60 创建了电子表格文档(MHTML 文件),其中嵌入了隐藏在诱饵图像下的恶意超链接,以诱骗受害者点击它们,从而触发漏洞。
处理后的 URL 参数包括一个 base64 编码的命令,用于执行特定插件 (promecefpluginhost.exe),该插件试图加载包含攻击者代码的恶意 DLL (ksojscore.dll)。
该DLL是APT-C-60的下载器组件,用于从攻击者的服务器获取最终的有效负载(TaskControler.dll),这是一个名为“SpyGlace”的自定义后门。
攻击链
中国网络安全公司安恒信息(DBAPPSecurity)最近发布了对 WPS Office 漏洞的分析(https://ti.dbappsecurity.com.cn/info/6910),此前该公司确定该漏洞已被利用来向中国用户传播恶意软件。
SecurityWeek已经看到中国公司和政府机构发布的多份有关 APT-C-60 的报告,该组织在中国被追踪为“伪猎人”。其中一些报告将该 APT 与韩国联系起来。
根据2022 年底ThreatBook(微步在线) 的一份报告(https://threatbook.io/blog/Analysis-of-APT-C-60-Attack-on-South-Korea),APT-C-60 还针对了韩国的实体。
ESET 周三报告(https://www.welivesecurity.com/en/eset-research/analysis-of-two-arbitrary-code-execution-vulnerabilities-affecting-wps-office/)称,2 月底,一份利用 CVE-2024-7262 漏洞的恶意文档被上传到 VirusTotal。攻击者创建了看似无害的电子表格,当目标用户点击单元格时触发漏洞。
诱饵文档嵌入了一张隐藏恶意超链接的图片
关于此漏洞的另一个有趣的事实是,它也可以通过在 Windows 资源管理器的预览窗格中单击来触发,这使得它更加危险。
据 ESET 称,WPS Office 开发商金山在 2024 年 3 月发布版本 12.1.0.16412 时修补了该0day漏洞。自 2023 年 8 月以来发布的软件版本均受到影响,但仅限于 Windows。
在对 CVE-2024-7262 进行分析时,ESET 发现开发商只修复了部分错误代码,该漏洞仍然可被利用。随后,该供应商发布了针对第二个漏洞的补丁,补丁编号为 CVE-2024-7263。
WPS Office 是一款流行的办公套件,根据官方网站的数据,其全球活跃用户超过 5 亿。这使其成为漏洞利用开发人员的一个有价值的目标。
安全专家建议所有WPS 用户应尽快将软件更新到最新版本。
ESET 提供了APT-C-60 攻击的技术细节以及攻击检测指标 ( IoC ),参考链接:https://github.com/eset/malware-ioc/tree/master/apt_c_60
参考链接:
https://www.bleepingcomputer.com/news/security/apt-c-60-hackers-exploited-wps-office-zero-day-to-deploy-spyglace-malware/
https://www.securityweek.com/wps-office-zero-day-exploited-by-south-korea-linked-cyberspies/
今日安全资讯速递
APT事件
Advanced Persistent Threat
伊朗“Pioneer Kitten(先锋小猫)”利用 Check Point 和 Palo Alto 设备入侵美国网络
https://www.theregister.com/2024/08/28/iran_pioneer_kitten/
微软报告伊朗黑客组织APT33利用新型Tickler恶意软件攻击美国政府、国防、石油和天然气部门
https://www.bleepingcomputer.com/news/security/APT33-Iranian-hacking-group-uses-new-tickler-malware-to-backdoor-us-govt-defense-orgs/
韩国黑客组织 APT-C-60 利用 WPS Office 0day漏洞(CVE-2024-7262)安装 SpyGlace 后门
https://www.securityweek.com/wps-office-zero-day-exploited-by-south-korea-linked-cyberspies/
https://www.bleepingcomputer.com/news/security/apt-c-60-hackers-exploited-wps-office-zero-day-to-deploy-spyglace-malware/
一般威胁事件
General Threat Incidents
专家称汽车制造商面临日益严峻的数据隐私挑战
https://www.cybersecuritydive.com/news/ftc-data-privacy-connected-cars/725434/
PoorTry Windows 驱动程序进化为功能齐全的 EDR 擦除器
https://www.bleepingcomputer.com/news/security/poortry-windows-driver-evolves-into-a-full-featured-edr-wiper/
新的二维码网络钓鱼活动利用 Microsoft Sway 基础设施窃取凭证
https://thehackernews.com/2024/08/new-qr-code-phishing-campaign-exploits.html
通过恶意 Pidgin 插件 Signal Fork 传播的恶意软件
https://www.securityweek.com/malware-delivered-via-malicious-pidgin-plugin-signal-fork/
Young Consulting 遭受 BlackSuit 勒索软件攻击,超过 95 万人的个人信息遭到泄露
https://www.securityweek.com/950000-impacted-by-young-consulting-data-breach/
“Play”勒索软件组织声称已侵入Microchip并窃取机密数据
https://www.pcmag.com/news/play-ransomware-group-claims-it-breached-microchip-stole-secret-data
BlackByte 勒索软件在最新一波攻击中利用 VMware ESXi 漏洞
https://thehackernews.com/2024/08/blackbyte-ransomware-exploits-vmware.html
新泽西州一名员工因勒索 Windows 管理员将 254 台服务器锁定而被捕
https://www.bleepingcomputer.com/news/security/employee-arrested-for-locking-windows-admins-out-of-254-servers-in-extortion-plot/
漏洞事件
Vulnerability Incidents
Apache OFBiz 的第二个漏洞被利用进行攻击
https://securityweek.com/second-apache-ofbiz-vulnerability-exploited-in-attacks/
Fortra 发布针对高风险 FileCatalyst 工作流安全漏洞的补丁
https://thehackernews.com/2024/08/fortra-issues-patch-for-high-risk.html
WPML 插件严重漏洞(CVE-2024-6386,CVSS 评分:9.9)导致 WordPress 网站遭受远程代码执行
https://thehackernews.com/2024/08/critical-wpml-plugin-flaw-exposes.html
美国 CISA 将 Google Chromium V8 漏洞添加到其已知利用漏洞目录中
https://securityaffairs.com/167722/security/u-s-cisa-adds-google-chromium-v8-bug-known-exploited-vulnerabilities-catalog.html
日立能源漏洞困扰 SCADA 电力系统
https://www.darkreading.com/ics-ot-security/hitachi-energy-vulnerabilities-plague-scada-power-systems
扫码关注
会杀毒的单反狗
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):韩国黑客组织 APT-C-60 利用 WPS 0day漏洞(CVE-2024-7262)安装 SpyGlace 后门
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论