ESET araştırmacıları, gelişmiş kalıcı tehdit (APT) grubu APT-C-60 tarafından istismar edilen Windows için WPS Office’te iki kritik sıfır gün açığını ortaya çıkardı.
Güney Kore bağlantılı bu siber casusluk grubu, Doğu Asya ülkelerindeki kullanıcıları hedef alıyor ve bu güvenlik açıklarını kullanarak kötü amaçlı kodlar çalıştırıyor ve kötü amaçlı yazılımlar dağıtıyor.
CVE-2024-7262 olarak tanımlanan ilk güvenlik açığı, WPS Office’in eklenti bileşeni promecefpluginhost.exe’deki bir kod yürütme kusurunu içeriyor.
Güvenlik açığı, saldırganların sağladığı dosya yollarının düzgün bir şekilde temizlenmemesi ve yüklenen eklentilerin yeterli düzeyde doğrulanmamasından kaynaklanıyor.
Free Webinar on Detecting & Blocking Supply Chain Attack -> Book your Spot
Bu kusur, saldırganların uygulamanın kontrol akışını ele geçirmesine ve keyfi kodun yürütülmesine olanak tanır. İstismar süreci, WPS Office’te açıldığında SpyGlace adlı özel bir arka kapının yürütülmesini tetikleyen kötü amaçlı bir elektronik tablo belgesi oluşturmayı içerir. Bu arka kapı, aynı zamanda GörevKontrolörü.dllhedeflenen sistemlere kötü amaçlı yazılım göndermek için kullanılır.
APT-C-60’ın saldırı yöntemi, HTML, CSS ve JavaScript dosyalarını içerebilen çok parçalı bir arşiv olan MHTML dosya formatını kullanmayı içeriyor.
Bu format saldırganların belgenin içine gizli bir köprü metni yerleştirmesine olanak tanır. Kullanıcılar bu köprü metniyle etkileşime girdiğinde, uzak bir dosya yolundan bir kitaplık indirerek kötü amaçlı kodun uzaktan yürütülmesini tetikler.
Saldırganlar, WPS Office tarafından kaydedilen ksoqing protokol işleyicisini kullanarak özel olarak hazırlanmış URL’ler aracılığıyla harici uygulamaları çalıştırıyor.
İkinci güvenlik açığı, CVE-2024-7263, CVE-2024-7262 için yapılan yama analizi sırasında keşfedildi. Bu güvenlik açığı da aynı eklenti bileşeni üzerinden kod yürütülmesini içeriyor ancak farklı bir mantık kusurundan yararlanıyor.
Kusur, komut satırı argümanlarının uygunsuz şekilde işlenmesinde yatmaktadır ve saldırganların denetimleri atlatmasına ve uygun imza doğrulaması olmadan kötü amaçlı kitaplıkları yüklemesine olanak tanır. Bu güvenlik açığı, tüm olası istismar vektörlerini ele almak için kapsamlı yama uygulamasının önemini vurgular.
WPS Office, küresel olarak 500 milyondan fazla aktif kullanıcıyla yaygın olarak kullanılıyor ve bu da onu siber suçlular için kazançlı bir hedef haline getiriyor. Güvenlik açıkları vahşi doğada istismar edildi ve öncelikli olarak Doğu Asya’daki kullanıcıları etkiledi.
Bu güvenlik açıklarının istismar edilmesi, APT-C-60’ın bölgesel kullanıcıları hedeflemedeki karmaşıklığını ve sürekliliğini vurguluyor.
Keşfin ardından ESET, bu güvenlik açıklarını kapatmak için WPS Office geliştiricileri Kingsoft ile koordine oldu. CVE-2024-7262’nin ilk sessiz yamalamasına rağmen, daha ileri analizler yamanın eksik olduğunu ve kodun bazı kısımlarının hala savunmasız kaldığını ortaya koydu.
Kingsoft, o zamandan bu yana her iki güvenlik açığını da kabul edip giderdi ve kullanıcıları, bu tür saldırılarla ilişkili riskleri azaltmak için yazılımlarını en son sürüme güncellemeleri konusunda uyardı.
APT-C-60’ın WPS Office’te sıfırıncı gün açıklarını kullanması, gelişmiş siber casusluk örgütlerinin oluşturduğu sürekli tehlikelerin açık bir göstergesidir.
WPS Office kullanan kurum ve kişilerin yazılımlarını derhal güncellemeleri ve olası kimlik avı girişimlerine ve şüpheli belgelere karşı dikkatli olmaları önemle tavsiye edilir.
Windows için WPS Office’in etkilenen sürümleri, Ağustos 2023 civarında yayınlanan 12.2.0.13110 sürümünden, Mayıs 2024 sonunda yayınlanan 12.2.0.17119 sürümüne kadar uzanıyor.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial