韓国のハッカー、WPS Officeのゼロデイを悪用してマルウェアを展開(CVE-2024-7262)
BleepingComputer – August 28, 2024
韓国と提携関係にあるサイバースパイグループAPT-C-60が、Windows版WPS Officeにおけるコード実行のゼロデイ脆弱性を悪用し、東アジア諸国の標的のシステムにSpyGlaceバックドアをインストールしているという。
このゼロデイ欠陥CVE-2024-7262は、ソフトウェアが特にカスタムプロトコルハンドラー「ksoqing://」を処理する際の方法に関する問題で、ドキュメントに含まれる特別に細工されたURLを通じて外部アプリケーションの実行を可能にする。これらのURLの検証とサニタイズが適切に行われないことから、攻撃者は有害なハイパーリンクを作成して任意のコードを実行できるようになる。
APT-C-60は、遅くとも2024年2月下旬から実際の攻撃で同脆弱性を利用しているという。実際の攻撃ではスプレッドシート(MHTMLファイル)を作成。おとりとなる画像の下に不正なハイパーリンクを埋め込み、標的にクリックさせてエクスプロイトを誘発させる。
処理されたURLパラメータには、特定のプラグイン(promecefpluginhost.exe)を実行するためのbase64エンコードされたコマンドが含まれる。同プラグインは攻撃者が作成したコードを含む有害なDLL(ksojscore.dll)をロードしようとするもので、このDLLは攻撃者のサーバーからカスタムバックドア「SpyGlace」を取得するように設計されているとのこと。このゼロデイの存在およびAPT-C-60による悪用を発見したのは、ESETの研究者ら。同チームはこのグループの活動を調査する中で今回の攻撃キャンペーンを発見し、併せて別の脆弱性CVE-2024-7263も見つけ出している。
APT-C-60の活動に関連する侵害の指標(IoC)の完全なリストについては、ESETのGitHubリポジトリで確認することができる。