![漏洞分析 | APT-C-60 组织针对中国!利用 WPS Office 漏洞部署 SpyGlace 后门]( "漏洞分析 | APT-C-60 组织针对中国!利用 WPS Office 漏洞部署 SpyGlace 后门")
▌WPS 漏洞遭利用,SpyGlace 后门潜入
![漏洞分析 | APT-C-60 组织针对中国!利用 WPS Office 漏洞部署 SpyGlace 后门]( "漏洞分析 | APT-C-60 组织针对中国!利用 WPS Office 漏洞部署 SpyGlace 后门")
据塞讯安全实验室的最新观察,韩国背景的威胁组织相关的一起攻击活动利用金山 WPS Office 中先前存在的一个关键远程代码执行漏洞(现已被修补),即 CVE-2024-7262(CVSS 评分为 9.3),部署了名为 SpyGlace 的定制后门程序。这一攻击活动的发起者是著名的 APT-C-60 的威胁组织。
这些精心策划的攻击活动已成功感染了中国及东亚地区用户的设备,悄无声息地植入了恶意软件。CVE-2024-7262 漏洞的核心问题在于 WPS Office 对用户提供的文件路径处理不当,缺乏必要的验证措施,进而为攻击者打开了一扇大门,使其能够上传任意 Windows 库文件,并借此实现远程代码执行,严重威胁到用户的数据安全和系统稳定性。
▌伪装电子表格传播 SpyGlace 木马
漏洞能够允许攻击者通过劫持其插件组件 promecefpluginhost.exe的控制流来执行恶意代码。此外,还存在另一种方式实现同样的攻击效果,该漏洞被命名为 CVE-2024-7263,其严重性评分为 CVSS 9.3。
APT-C-60 威胁组织利用这一漏洞,精心设计了一种伪装成普通电子表格的陷阱文档,该文档于 2024 年 2 月出现在 VirusTotal 平台上。文档内置恶意链接,一旦用户触发,即会启动一连串的感染步骤,最终部署名为 SpyGlace 的木马,其核心为一个具备文件窃取、插件加载及命令执行能力的 TaskControler.dll动态链接库。
为增强欺骗性,攻击者在电子表格中嵌入看似无害的行列图片,使用户误以为文档安全无虞。而实际上,这些图片与恶意超链接相关联,用户点击图片中的特定单元格时,便不经意间启动了漏洞利用机制。
APT-C-60 自 2021 年起便在网络世界中活跃,而 SpyGlace 木马更是在 2022 年 6 月之前就已现身野外。不论 APT-C-60 是独立开发了 CVE-2024-7262 的漏洞利用工具,还是通过其他渠道获得,都彰显了其对 WPS Office 内部工作机制及 Windows 系统加载流程的深入了解。
此次漏洞利用的高超之处在于其隐蔽性和高效性,足以迷惑大多数用户,并通过 MHTML 文件格式,将原本局限于本地的代码执行漏洞转变为远程攻击手段,进一步加剧了威胁的广泛性和严重性。
▌DarkGate 恶意软件传播新途径
Pidgin 消息传递应用程序中的一个名为 ScreenShareOTR(或 ss-otr)的第三方插件被证实含有恶意代码。这些代码能够从命令与控制(C&C)服务器下载并执行后续恶意二进制文件,最终导致 DarkGate 恶意软件的部署。该插件原本宣称支持安全的离线记录(OTR)协议进行屏幕共享,但实际上却暗藏玄机。
具体而言,特定版本的 pidgin-screenshare.dll 文件能够连接到 C&C 服务器,下载并执行 PowerShell 脚本,这一行为完全背离了其宣传的初衷。此外,该插件还具备键盘记录与屏幕截图功能,进一步加剧了其危害性。目前,该插件已被从第三方插件列表中移除,建议所有已安装该插件的用户立即卸载。
紧接着,Cradle 的应用程序中也发现了与 ScreenShareOTR 相似的恶意后门代码。Cradle 自称是某知名消息传递应用的开源分支,自 2023 年 9 月起便在网络上流传。其恶意行为模式与 ScreenShareOTR 如出一辙,通过 PowerShell 脚本触发下载并执行 AutoIt 脚本,以实现 DarkGate 的安装。对于 Linux 用户,Cradle 则通过传递 ELF 可执行文件,执行 shell 命令并将结果回传至远程服务器。
值得注意的是,无论是 ScreenShareOTR 插件的安装程序还是 Cradle 应用程序,均使用了有效的数字证书进行签名,这一现象表明攻击者正不断采用更为隐蔽和复杂的手法来传播恶意软件,增加了用户识别和防范的难度。因此,用户需保持高度警惕,及时关注安全更新并采取必要的防护措施。
▌塞讯验证规则
针对该威胁组织所采用的攻击手段,塞讯安全度量验证平台已经加入了相应的攻击模拟规则。您可以在平台中搜索关键词“APT-C-60”,获取与此威胁组织相关的攻击模拟验证动作。通过这些模拟攻击,您可以验证您的安全防御体系是否能够有效应对该威胁组织的攻击。塞讯安全度量验证平台采用业界独有的方式,确保您的验证过程安全无害。
塞讯验证提供真实的攻击样本,如需了解更多信息,欢迎拨打官方电话 400-860-6366 或发送邮件至 [email protected] 联系我们。您也可以扫描下方二维码添加官方客服,我们将竭诚为您服务。
用持续验证 建长久安全
![漏洞分析 | APT-C-60 组织针对中国!利用 WPS Office 漏洞部署 SpyGlace 后门]( "漏洞分析 | APT-C-60 组织针对中国!利用 WPS Office 漏洞部署 SpyGlace 后门")
![漏洞分析 | APT-C-60 组织针对中国!利用 WPS Office 漏洞部署 SpyGlace 后门]( "漏洞分析 | APT-C-60 组织针对中国!利用 WPS Office 漏洞部署 SpyGlace 后门")
塞讯验证是国内网络安全度量验证平台开创者,率先提出利用真实自动化APT攻击场景来持续验证安全防御有效性概念, 旨在用安全验证技术来帮助客户实现365天持续评估自身安全防御体系效果,已在金融、高科技、关键信息基础设施等重点行业多家标杆客户中获得商业化落地验证。
核心团队均来自于全球知名网络安全公司和APT研究机构,拥有业界突出的安全研究与APT组织追踪能力。两大研发团队分别位于上海和杭州,致力于为客户打造最优秀的安全验证产品。我们在北京、上海、深圳、杭州均设有分支机构,服务可覆盖全国各个角落。
关注【塞讯安全验证】,了解塞讯安全度量验证平台以及更多安全资讯
关注【塞讯业务观测验证】,了解最前沿的业务观测与IT运营相关技术、观点及趋势
原文始发于微信公众号(塞讯安全验证):漏洞分析 | APT-C-60 组织针对中国!利用 WPS Office 漏洞部署 SpyGlace 后门
评论