WPS用户警惕！APT-C-60利用WPS Office漏洞部署SpyGlace后门

主要观点总结

APT-C-60组织利用金山WPS Office软件中的两个关键远程代码执行漏洞（CVE-2024-7262和CVE-2024-7263）进行攻击。CVE-2024-7262允许攻击者上传并执行任意Windows库，CVE-2024-7263是一个未完全修复的漏洞。攻击者通过操纵的电子表格文档作为攻击载体，传播SpyGlace木马，该木马具备文件窃取、插件加载和命令执行功能。此外，Pidgin消息应用程序的第三方插件ScreenShareOTR也被发现包含下载DarkGate恶意软件的代码。文章还描述了漏洞披露的时间线和APT-C-60的攻击活动。

关键观点总结

关键观点1: APT-C-60利用WPS Office软件中的漏洞进行攻击。

APT-C-60组织针对金山WPS Office软件的两个漏洞CVE-2024-7262和CVE-2024-7263进行攻击，这些漏洞允许远程代码执行。

关键观点2: 漏洞利用方式和影响。

攻击者通过制作带有恶意链接的电子表格文档，诱导用户点击，触发漏洞利用，传播SpyGlace木马。SpyGlace具备文件窃取、插件加载和命令执行功能。此外，第三方插件ScreenShareOTR被发现包含下载恶意软件的代码。

关键观点3: 漏洞披露和时间线。

文章描述了从发现漏洞到披露和修复的过程，包括ES ET与金山软件的交流和互动。

关键观点4: APT-C-60攻击活动的复杂性。

APT-C-60的攻击活动展示了其在漏洞开发、社会工程和恶意软件部署方面的复杂性和隐蔽性。无论该组织是开发还是购买了CVE-2024-7262的漏洞，都需要对WPS Office的内部进行研究，了解Windows加载过程的行为方式。

关键观点5: 建议。

ESET强烈建议Windows版WPS Office用户将其软件更新到最新版本，以防范潜在的安全风险。

免责声明