South Korean Spies Exploit WPS Office Zero-Day
2024/08/28 InfoSecurity — WPS Office for Windows の RCE 脆弱性を悪用してカスタム・バックドアを展開する、新たなサイバースパイ・キャンペーンが ESET により発見された。このキャンペーンは、ソウルに拠点を置く APT-C-60 によるもので、東アジアの被害者をターゲットとし、サイバースパイ機能を搭載した SpyGlace バックドアを展開している。
このキャンペーンは、正規の WPS Office for Windows を装い、スプレッドシートをクリックするように被害者を誘導し、エクスプロイトを生じさせている。ESET によると、WPS Office は世界中で数億人のアクティブ・ユーザーを抱えているが、その大半は東アジアに集中しているという。
そのドキュメント自体は、一般的な XLS スプレッドシート形式の MHTML ファイルだが、WPS スプレッドシート・アプリの使用中にクリックが発生すると、任意のライブラリをトリガーするように設計された、隠しハイパーリンクによるブービートラップが仕掛けられている。
一般的な MHTML ファイルは、ドキュメントを開くと直ちにファイルをダウンロードできる仕様を持つため、RCE を仕掛けることが可能になると、ESET は説明している。
ESET の研究者である Romain Dumont は、「この脆弱性を悪用する攻撃者は、攻撃の前提として、標的とするコンピューターがアクセス可能な、システム/リモート共有のどこかに悪意のライブラリを保存し、そのファイル・パスを事前に知っておく必要がある。そして、この脆弱性を狙うエクスプロイト開発者は、ファイル・アクセスを実現するための、いくつかのトリックを知っていた。その結果として、WPS Spreadsheet アプリケーションで表計算ドキュメントを開くと、リモート・ライブラリが自動的にダウンロードされるようになっていた」と詳述する。
ESET によると、このエクスプロイトの開発者は、スプレッドシートの行と列の画像を埋め込み、それを正規のスプレッドシートに見せかけていた。そして、悪意のハイパーリンクは画像にリンクされており、画像のセルをクリックするとエクスプロイトが実行されるようになっていたという。
同社によると、この攻撃で悪用されたゼロデイ脆弱性 CVE-2024-7262 は、WPS Office の開発元である Kingsoft によりサイレント・パッチが適用されていた。しかし研究者たちは、この脆弱性が完全に修正されていないことを発見した。それが、不適切な入力検証を悪用するハッカーが、同じ目的を達成できる、後続の脆弱性 CVE-2024-7263 である。
中国を拠点とする DBAPPSecurity が、この武器化された脆弱性の分析を独自に発表し、それを悪用する APT-C-60 が、中国のユーザーにマルウェアを配信していたと、ESET は結論づけている。
この、Kingsoft WPS Office の脆弱性 CVE-2024-7262 については、2024/08/16 の「WPS Office の脆弱性 CVE-2024-7262/7263 (CVSS:9.3) が FIX:すでに悪用が確認されている」が第一報となっています。文中には、東アジアのユーザーへの攻撃が示唆されていますが、日本も含まれると考えておく方が良いでしょう。
IoT OT Security News 
You must be logged in to post a comment.