主要观点总结
APT-C-60组织利用金山WPS Office软件中的两个关键远程代码执行漏洞(CVE-2024-7262和CVE-2024-7263)进行攻击。CVE-2024-7262允许攻击者上传并执行任意Windows库,CVE-2024-7263是一个未完全修复的漏洞。攻击者通过操纵的电子表格文档作为攻击载体,传播SpyGlace木马,该木马具备文件窃取、插件加载和命令执行功能。此外,Pidgin消息应用程序的第三方插件ScreenShareOTR也被发现包含下载DarkGate恶意软件的代码。文章还描述了漏洞披露的时间线和APT-C-60的攻击活动。
关键观点总结
关键观点1: APT-C-60利用WPS Office软件中的漏洞进行攻击。
APT-C-60组织针对金山WPS Office软件的两个漏洞CVE-2024-7262和CVE-2024-7263进行攻击,这些漏洞允许远程代码执行。
关键观点2: 漏洞利用方式和影响。
攻击者通过制作带有恶意链接的电子表格文档,诱导用户点击,触发漏洞利用,传播SpyGlace木马。SpyGlace具备文件窃取、插件加载和命令执行功能。此外,第三方插件ScreenShareOTR被发现包含下载恶意软件的代码。
关键观点3: 漏洞披露和时间线。
文章描述了从发现漏洞到披露和修复的过程,包括ES ET与金山软件的交流和互动。
关键观点4: APT-C-60攻击活动的复杂性。
APT-C-60的攻击活动展示了其在漏洞开发、社会工程和恶意软件部署方面的复杂性和隐蔽性。无论该组织是开发还是购买了CVE-2024-7262的漏洞,都需要对WPS Office的内部进行研究,了解Windows加载过程的行为方式。
关键观点5: 建议。
ESET强烈建议Windows版WPS Office用户将其软件更新到最新版本,以防范潜在的安全风险。
正文
与韩国有关的网络间谍组织APT-C-60利用金山WPS Office软件中的一个关键远程代码执行漏洞(CVE-2024-7262),CVSS评分为9.3,部署了名为SpyGlace的独特后门。该漏洞由于对用户提供的文件路径验证不足,允许攻击者上传任意Windows库并执行远程代码。APT-C-60通过一个操纵的电子表格文档作为攻击载体,该文档含有恶意链接,点击后触发多阶段感染序列,传播SpyGlace木马。SpyGlace是一个DLL文件,具备文件窃取、插件加载和命令执行功能。安全研究员Romain Dumont指出,APT-C-60对应用程序的内部进行了广泛研究,了解Windows加载过程的行为。此外,ESET报告称,Pidgin消息应用程序的恶意第三方插件ScreenShareOTR被发现包含下载DarkGate恶意软件的代码,该插件还具备键盘记录器和屏幕截图功能,已从第三方插件列表中删除,建议用户立即删除。
影响版本
: Windows版WPS Office 2023年8月发布的12.2.0.13110版本到2024年3月发布的补丁版本12.1.0.16412。
根本原因
: WPS Office的ksoqing自定义协议处理程序注册存在漏洞。该协议通过特定格式的URL执行任意代码,利用promecefpluginhost.exe组件的控制流。恶意链接通过WPS电子表格中的自定义协议启动该组件,导致攻击者指定的DLL被加载并执行。
漏洞利用方式
: 攻击者利用MHTML格式嵌入恶意库,并通过img标签下载远程文件。通过设置特定的超链接,点击链接时将加载攻击者控制的DLL,从而实现代码执行。受影响的WPS Office版本在打开含有恶意超链接的电子表格时,触发该漏洞。
影响版本
: Windows版WPS Office 2023年8月发布的12.2.0.13110版本到2024年5月末发布的12.2.0.17119版本。
根本原因
: 在修补CVE-2024-7262后,WPS Office引入的新补丁没有完全解决问题。补丁增加了对JSCefServicePath变量的检查,但未对CefPluginPathU8变量进行类似检查。这导致攻击者可以通过修改CefPluginPathU8变量,实现加载未经验证的DLL。
漏洞利用方式
: 攻击者可以通过网络路径注入恶意DLL,并利用未检查的CefPluginPathU8变量控制promecefpluginhost.exe进程。这使得攻击者能够加载并执行任意DLL文件,从而绕过补丁的防护措施。
APT-C-60组织利用漏洞进行攻击的主要过程如下:
-
寻找漏洞
:APT-C-60识别并利用了金山WPS Office软件中的一个关键远程代码执行漏洞(CVE-2024-7262),该漏洞允许攻击者上传并执行任意Windows库。
-
制作诱饵文档
:攻击者制作了一个带有陷阱的电子表格文档,该文档嵌入了恶意链接,并在2024年2月上传至VirusTotal。
-
诱导点击
:该电子表格文档通过图像欺骗用户,使其看起来像是普通的电子表格。文档中的恶意超链接连接到图像,诱导用户点击。
-
触发漏洞利用
:用户点击图像中的单元格后,触发漏洞利用,开始多阶段感染序列,目的是传播SpyGlace木马。
-
部署SpyGlace后门
:SpyGlace木马以TaskControler.dll的形式存在,具备文件窃取、插件加载和命令执行功能。
-
持续活动
:APT-C-60自2021年以来一直活跃,而SpyGlace后门早在2022年6月就已经在野外被发现。
-
利用其他漏洞
:APT-C-60还利用了Pidgin消息应用程序的第三方插件ScreenShareOTR(或ss-otr)中的漏洞,该插件包含从C&C服务器下载下一阶段二进制文件的代码,导致DarkGate恶意软件的部署。
-
利用Cradle应用
:ESET发现Cradle应用程序中存在与ScreenShareOTR相同的恶意后门代码,该应用程序声称是Signal的开源分支,恶意代码通过运行PowerShell脚本下载并执行。
-
使用数字证书
:插件安装程序和Cradle应用程序使用由波兰公司“INTERREX - SP. Z OO”颁发的有效数字证书进行签名,表明攻击者使用不同的方法来传播恶意软件。
APT-C-60的攻击活动展示了其在漏洞开发、社会工程和恶意软件部署方面的复杂性和隐蔽性。
2024-02-29:CVE-2024-7262的漏洞利用文档已上传至VirusTotal。
2024-03-??:金山发布了一个更新,悄悄修补了CVE-2024-7672漏洞,因此2024-02-29漏洞不再有效。这是通过分析2024-03至 2024-04 之间所有可访问的WPS Office版本后得出的结论,因为金山在尝试修复此漏洞时并未特别提供其操作的精确细节。
2024-04-30:ESET分析了来自VirusTotal的恶意文档,发现它正在积极利用CVE-2024-7262,这是文档首次使用时的一个零日漏洞。
ES
ET
还发现金山毒霸的静默补丁仅解决了部分错误代码,其余有缺陷的代码仍然可被利用。
2024-05-25:
ES
ET
联系了金山软件,报告了其发现。虽然第一个漏洞已经修复,但
ES
ET
询问他们是否可以创建CVE条目和/或公开声明,就像他们对CVE-2022-24934所做的那样。
2024-05-30:金山软件承认了这些漏洞并告诉
ES
ET
会及时更新信息。
2024-06-22:金山软件告诉
ES
ET
开发团队仍在努力解决这个问题,并计划在即将推出的版本中修复这个问题。
2024-07-31:根据后续测试,
ES
ET
发现CVE-2024-7263已被悄悄修复,
ES
ET
