韓国系サイバースパイ集団APT-C-60は、Windows版WPS Officeのゼロデイコード実行脆弱性を利用し、東アジアのターゲットにSpyGlaceバックドアをインストールしている。
WPS Officeは、アジアで人気のある中国企業Kingsoftによって開発された生産性スイートである。報告されているところでは、全世界で5億人以上のアクティブ・ユーザーを抱えている。
CVE-2024-7262として追跡されているゼロデイ欠陥は、少なくとも2024年2月下旬以降、野生の攻撃で活用されているが、12.2.0.13110(2023年8月)から12.1.0.16412(2024年3月)までのバージョンに影響を与える。
Kingsoftは今年3月、この欠陥が積極的に悪用されていることを顧客に知らせることなく、”静かに “この問題にパッチを適用したため、このキャンペーンと脆弱性を発見したESETは本日、詳細なレポートを発表した。
ESETの調査により、CVE-2024-7262に加え、CVE-2024-7263として追跡されている2番目の深刻な欠陥が発見され、キングソフトは2024年5月下旬にバージョン12.2.0.17119でパッチを適用した。
APT-C-60の悪用
CVE-2024-7262は、ソフトウェアがカスタムプロトコルハンドラ、特に「ksoqing://」を処理する方法に存在し、ドキュメント内の特別に細工されたURLを通じて外部アプリケーションの実行を可能にします。
これらのURLの不適切な検証とサニタイズにより、攻撃者は任意のコード実行につながる悪意のあるハイパーリンクを作成することができます。
APT-C-60は、スプレッドシート文書(MHTMLファイル)を作成し、おとり画像の下に隠された悪意のあるハイパーリンクを埋め込むことで、被害者を騙してクリックさせ、エクスプロイトを誘発します。
処理されたURLパラメータには、攻撃者のコードを含む悪意のあるDLL(ksojscore.dll)をロードしようとする特定のプラグイン(promecefpluginhost.exe)を実行するためのbase64エンコードされたコマンドが含まれています。
このDLLはAPT-C-60のダウンローダーコンポーネントであり、最終的なペイロード(TaskControler.dll)を攻撃者のサーバー、「SpyGlace」という名前のカスタムバックドアから取得するように設計されています。
SpyGlaceは、APT-C-60が人材および貿易関連組織への攻撃で使用した際に、Threatbookが以前分析したバックドアです。
不良パッチによる隙間
APT-C-60の攻撃を調査している間に、ESETの研究者は、CVE-2024-7262の不完全なパッチとして出現したWPS Officeに影響を与える2番目の任意のコード実行の欠陥であるCVE-2024-7263を発見しました。
具体的には、この問題に対処するためのKingsoftの最初の試みは、特定のパラメータに対する検証を追加した。しかし、「CefPluginPathU8」のようないくつかのパラメータはまだ十分に保護されておらず、攻撃者は再びpromecefpluginhost.exeを通じて悪意のあるDLLのパスを指すことができる。
ESETは、この脆弱性はローカルまたはネットワーク共有を通じて悪用される可能性があり、悪意のあるDLLがホストされている可能性があると説明している。
このような可能性があるにもかかわらず、APT-C-60やその他のアクターがこの欠陥を利用している様子は観測されていません。しかし、十分な時間があれば、彼らがキングソフトの不正なパッチによって残されたセキュリティ・ギャップを発見していた可能性は低くない。
WPS Officeのユーザーは、コード実行の両方の欠陥に対処するため、できるだけ早く最新リリース、少なくとも12.2.0.17119に移行することが推奨される。
「このエクスプロイトは、ユーザーを騙して正規のスプレッドシートをクリックさせるほど狡猾であると同時に、非常に効果的で信頼性が高い」と、ESETはレポートの中で警告している。
「MHTMLファイル形式を選択したことで、攻撃者はコード実行の脆弱性をリモートの脆弱性に変えることができました。
APT-C-60の活動に関連する侵害の指標(IoC)の完全なリストについては、このGitHubリポジトリを確認してください。
Comments