韩国骇客组织锁定办公室套装软体WPS Office挖掘零时差漏洞,并用于实际攻击行动,引起研究人员高度关注。
研究人员认为,无论APT-C-60是自行挖掘或是购买漏洞,利用这种漏洞必须对应用程式内部进行研究,并且了解Windows如何载入处理程序,由于WPS Office有不少亚洲用户,他们认为这代表该组织专门锁定东亚国家而来。
针对骇客使用的这项漏洞,研究人员认为极为狡猾,因为可被用于欺骗用户点选看似正常的试算表档案,攻击者还能搭配MHTML档案,让漏洞能够远端触发。
罕见的是,ESET在公布调查结果的时候,首先提及漏洞通报的经过,突显金山很可能早就知道漏洞已被利用的情况,后续处理过程却不透明。
骇客从2月开始利用漏洞后,金山已于3月底悄悄修补了CVE-2024-7672,但并未公告此事,直到4月ESET研究人员分析已上传到VirusTotal的恶意档案,发现该漏洞已被用于实际攻击行动的情况。
研究人员进一步调查修补程式码,发现金山并未完整修补,仍有部分程式码存在相关弱点CVE-2024-7673,他们后来在5月底通报,金山在6月下旬表示尚在解决问题,到了8月22日却又改口承认,已于5月底就完成修补。