近日，ESET安全研究人员揭露韩国网络间谍组织APT-C-60利用WPS Office Windows版本中的漏洞，在东亚地区的目标用户中开展间谍活动。

ESET安全研究人员在调查过程中发现，与韩国有关的网络黑客组织 APT-C-60利用WPS Office Windows版本中的零日代码执行漏洞（CVE-2024-7262漏洞和CVE-2024-7263漏洞），通过恶意URL 在文档中执行外部应用程序开展攻击活动。WPS Office在处理自定义协议处理程序时存在不当，攻击者可以通过恶意URL在文档中执行外部应用程序。CVE-2024-7263则是由于金山软件对CVE-2024-7262修补不完全导致的，某些参数未得到充分验证，使得攻击者能够再次利用该漏洞。

该组织创建了包含恶意超链接的WPS文档（如DOC、DOCX、XLS、XLSX等格式），这些超链接隐藏在诱饵图片下，一旦用户点击这些链接，会执行特定插件（promecefpluginhost.exe），加载恶意DLL文件（ksojscore.dll），最终下载并执行SpyGlace后门程序。攻击者通过SpyGlace后门程序可以实现对受害者计算机的远程控制，窃取敏感信息、监控网络通信、进行数据破坏等恶意活动。这些活动对受害者的业务运营、数据安全和个人隐私构成严重威胁。

ESET公司

WPS Office在亚洲地区拥有广泛的用户基础，全球活跃用户超过5亿。此次APT-C-60的攻击活动主要针对东亚地区的目标系统，特别是那些使用WPS Office的组织和个人。这些目标可能包括政府机构、企业、研究机构等，其敏感数据成为攻击者的主要窃取对象。ESET安全研究人员在调查过程中发现了这两个漏洞，并联系了金山软件。金山软件在后续版本中修复了这些漏洞，但初期并未公开披露CVE-2024-7262的野外利用情况。因为该漏洞的野外利用情况增加了其被进一步利用的风险，因此ESET最终决定发布博客文章警告用户。

ESET是一家总部位于斯洛伐克布拉迪斯拉发的全球知名的电脑安全软件公司，创立于1992年。在英文中，ESET可以理解为Essential Solution Against Evolving Threats（针对病毒进化而必备的解决方案）。主要经营范围是互联网安全产品，其最知名的产品为NOD32防毒软件。致力于网络安全研究，拥有遍布全球的13个研发中心和数百名专家。不仅面向个人用户，也为企业提供全面的安全解决方案，包括防病毒、反间谍软件、防火墙等功能。

 APT-C-60利用WPS安全漏洞

据ESET称，此次攻击活动的幕后黑手APT-C-60是一个与韩国有关联的网络间谍组织，其名称中的“APT”代表“高级持续性威胁”（Advanced Persistent Threat），这种威胁通常具有高度的隐蔽性、持续性和针对性，能够长期潜伏在目标网络中，窃取敏感信息或进行其他恶意活动。这类组织往往具有明确的情报收集和目标渗透能力，利用软件漏洞进行间谍活动是其常用的手段之一。

此次事件警示了网络安全形势日益严峻，网络间谍组织在不断寻找新的漏洞和更高效的攻击手段，任何软件都可能存在安全漏洞。企业和组织也需要加强网络安全建设和管理，提高网络安全防护能力，确保业务运营和数据安全。软件服务提供商应部署全面的安全防护措施，包括防火墙、入侵检测系统、端点安全解决方案等，以防范潜在的安全威胁。

对于普通用户来说，在使用流行办公软件时，仍需保持警惕，定期更新办公软件和其他常用软件，以获取最新的安全补丁和防护功能。对于来自不明来源的文档和链接，用户应保持高度警惕，避免随意打开或点击，以防范潜在的安全威胁。