文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

韩国黑客利用WPS零日漏洞开展大规模间谍活动

2024-11-29 19:13

关注

WPS Office是中国金山软件公司开发的一款生产力套件,在亚洲地区拥有广泛的用户基础,全球活跃用户超过5亿。

WPS零日漏洞被野外利用超过半年

此次曝光的CVE-2024-7262漏洞,涉及WPS Office对自定义协议处理程序(如'ksoqing://')的处理方式不当,使攻击者能够通过恶意URL在文档中执行外部应用程序。这一漏洞自2024年2月下旬以来已在野外被利用,影响了从2023年8月发布的12.2.0.13110版本到2024年3月发布的12.1.0.16412版本。

APT-C-60在攻击中使用了恶意超链接,隐藏在图片下方,诱使用户点击。点击后,会执行特定插件(promecefpluginhost.exe),加载恶意DLL文件(ksojscore.dll),最终下载并执行SpyGlace后门程序。

APT-C-60攻击路径

SpyGlace是一个后门程序,根据Threatbook此前的分析报告,APT-C-60曾在攻击人力资源和贸易相关组织时使用过SpyGlace。

补丁不完善导致新的漏洞

更为严重的是,ESET的研究人员在调查APT-C-60的攻击时,还发现了另一个相关的任意代码执行漏洞(CVE-2024-7263)。这个漏洞是由于金山软件对CVE-2024-7262修补不完全导致的,某些参数如'CefPluginPathU8'未得到充分验证,攻击者可能利用这一漏洞再次执行恶意代码。(此漏洞可以在本地或通过网络共享进行利用)

尽管研究人员尚未观察到APT-C-60或其他攻击者利用CVE-2024-7263在野外发动攻击,但这个漏洞的存在意味着在足够的时间内,攻击者可能会发现并利用这一安全缺口。

漏洞披露时间线

以下为ESET官方博客(按照其与金山协调的漏洞披露政策)公布的自武器化文档上传到 VirusTotal至今的时间线:

应对措施与建议

目前,ESET强烈建议WPS Office用户尽快更新到最新版本,至少升级到12.2.0.17119版本,以解决这两个代码执行漏洞。ESET在报告中警告:“这个漏洞非常狡猾,足以诱使任何用户点击看似合法的电子表格,攻击成功率极高。”

结语

WPS零日漏洞攻击事件再次提醒我们,在使用流行办公软件时,仍需保持警惕,及时更新软件以防范潜在的安全威胁。此外,APT-C-60的攻击活动表明,针对东南亚地区的目标,网络间谍组织正在不断寻找新的漏洞和更高效的攻击手段。

有关APT-C-60活动的详细入侵指标(IoCs)列表,可以访问ESET在GitHub上的项目页面获取。

来源:GoUpSec内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯