韩国黑客团伙正在活跃使用WPS中的缝隙布置后门 该缝隙已经在最新版中修正

早前蓝点网说到金山软件的 WPS Office 呈现高危安全缝隙而且现已有黑客集团将缝隙兵器化进行运用，WPS 官方称受影响的只要 WPS 2023 国际版，其他版别并未受影响。

当然金山软件仍是和之前相同，关于安全缝隙虽然会进行修正但一直不愿意发布完好的安全公告提示用户防范进犯，例如在此次缝隙中金山软件就没有泄漏缝隙现已被活跃运用。

这促进发现缝隙的网络安全公司 ESET 又发布新的具体陈述提示用户和企业当即升级到最新版别并防范来自韩国的黑客团伙建议的进犯。

缝隙的大致时间线：

发现缝隙的是网络安全公司 ESET，该公司发现缝隙 1 (CVE-2024-7262) 至少从 2024 年 2 月份开端就现已遭到黑客的运用，因而归于零日缝隙的领域。

ESET 尽责向金山软件通报缝隙，后者于 2024 年 3 月发布新版别悄然修正缝隙，但没有发布公告提示这枚缝隙现已遭到活跃运用。

随后 ESET 又发现金山软件的修正不行完全依然存在缝隙，缝隙 2 (CVE-2024-7263) 通报给金山软件后，后者在 2024 年 5 月完结缝隙修正。

实践受影响的版别为 WPS 12.2.0.13110 (发布于 2023 年 8 月)~12.2.0.17119 (发布于 2024 年 5 月)，也就是说用户至少应当升级到 2024 年 5 月之后发布的新版别。

韩国黑客团伙 APT-C-60 正在活跃运用缝隙：

虽然缝隙现已得到修正但必定还有用户和企业由于各种原因没有升级到最新版别，这导致缝隙依然可被运用，所以韩国黑客团伙 APT-C-60 开端活跃运用此缝隙。

其间 CVE-2024-7262 缝隙归于 WPS 自定义协议处理程序中，即 ksoqing:// 这类用来快速翻开 WPS 的协议，由于验证和整理不妥，黑客能够制造触发恣意代码履行 (RCE) 的歹意超链接。

在实践进犯事例中 APT-C-60 创立 MHTML 文件并在文件内增加钓饵图画和歹意超链接，例如运用图片制造的点击加载文档，当用户真点击图片其实触发的是歹意超链接。

歹意超链接被点击后会触发缝隙，随后 APT-C-60 经过 base64 编码的指令履行特定插件 (promecefpluginhost.exe)，这是个后门程序，被 ESET 命名为 SpyGlace。

ESET 也提示称这种进犯方式十分奸刁，由于有满足的欺骗性，能够拐骗用户点击看似没问题的文件然后触发缝隙，对用户尤其是企业用户来说慎重翻开电子邮件或其他从网上下载的文件一直是个重要安全习气。