近日，韩国黑客活动ESET安全研究人员发现韩国网络间谍组织APT-C-60利用WPS Office Windows版本中的利用S零一个零日代码执行漏洞（CVE-2024-7262），在东亚地区的日漏目标系统中安装了名为SpyGlace的后门程序。

WPS Office是洞开中国金山软件公司开发的一款生产力套件，在亚洲地区拥有广泛的规模用户基础，全球活跃用户超过5亿。间谍

此次曝光的韩国黑客活动CVE-2024-7262漏洞，涉及WPS Office对自定义协议处理程序（如ksoqing://）的利用S零处理方式不当，使攻击者能够通过恶意URL在文档中执行外部应用程序。日漏这一漏洞自2024年2月下旬以来已在野外被利用，洞开影响了从2023年8月发布的规模12.2.0.13110版本到2024年3月发布的12.1.0.16412版本。

APT-C-60在攻击中使用了恶意超链接，间谍隐藏在图片下方，韩国黑客活动诱使用户点击。利用S零点击后，日漏会执行特定插件（promecefpluginhost.exe），加载恶意DLL文件（ksojscore.dll），最终下载并执行SpyGlace后门程序。

APT-C-60攻击路径

SpyGlace是一个后门程序，根据Threatbook此前的分析报告，APT-C-60曾在攻击人力资源和贸易相关组织时使用过SpyGlace。

更为严重的是，ESET的研究人员在调查APT-C-60的攻击时，还发现了另一个相关的任意代码执行漏洞（CVE-2024-7263）。这个漏洞是由于金山软件对CVE-2024-7262修补不完全导致的，某些参数如CefPluginPathU8未得到充分验证，攻击者可能利用这一漏洞再次执行恶意代码。（此漏洞可以在本地或通过网络共享进行利用）

尽管研究人员尚未观察到APT-C-60或其他攻击者利用CVE-2024-7263在野外发动攻击，但这个漏洞的存在意味着在足够的时间内，攻击者可能会发现并利用这一安全缺口。

以下为ESET官方博客（按照其与金山协调的漏洞披露政策）公布的自武器化文档上传到 VirusTotal至今的时间线：

目前，ESET强烈建议WPS Office用户尽快更新到最新版本，至少升级到12.2.0.17119版本，以解决这两个代码执行漏洞。ESET在报告中警告：“这个漏洞非常狡猾，足以诱使任何用户点击看似合法的电子表格，攻击成功率极高。”

WPS零日漏洞攻击事件再次提醒我们，在使用流行办公软件时，仍需保持警惕，及时更新软件以防范潜在的安全威胁。此外，APT-C-60的攻击活动表明，针对东南亚地区的目标，网络间谍组织正在不断寻找新的漏洞和更高效的攻击手段。

有关APT-C-60活动的详细入侵指标（IoCs）列表，可以访问ESET在GitHub上的项目页面获取。