黑客利用WPS Office漏洞在目标系统中注入后门。

Avast研究人员发现有黑客利用WPS Office漏洞在目标系统中注入后门。

CVE-2022-24934——WPS office漏洞

WPS Office 是一个跨平台的office套件，安装量超过12亿。用户主要分布在中国和中国香港地区，是第一个支持中文语言word处理工具。CVE-2022-24934是WPS Office更新工具中的一个安全漏洞。

要利用该漏洞，需要修改HKEY_CURRENT_USER 下的一个注册表，攻击者完成这一操作后可以在系统上实现驻留，控制更新过程。建立与C2服务器通信连接，取回payload，并在被黑的机器上运行代码。

利用WPS漏洞实现恶意软件部署

Avast 已经向WPS通知了该任意代码执行漏洞，厂商也发布了补丁，但并不是所有用户都应用该补丁对系统进行了修复。

工具集

在攻击活动中，黑客还使用了大量的攻击工具。

注入被入侵系统的第一阶段payload是一个DLL后门和一个释放器，DLL后门的作用是用于建立C2 通信，释放器的目的是实现系统中的权限提升，并取回8个第二阶段payload以实现不同的功能。

Proto8是第二阶段的核心模块，加载到系统后会执行以下操作：

执行初始化检查和建立绕过机制；

模块自更新、加载配置文件和设置工作目录；

收集用户名、DNS、NetBios计算机名、操作系统、架构等信息；

验证硬编码的C2地址，并尝试连接到攻击者控制的服务器。

Proto8进行自升级和设置

以上步骤完成后，该核心模块就会等待远程服务器的命令，服务器发送的命令主要有：

发送收集的数据到C2服务器；

找出所有远程桌面会话的用户名、域名、和计算机名；

枚举根磁盘；

枚举文件、找出访问和创建的详细情况；

创建一个含有被窃的、复制的token的进程；

重命名文件；

删除文件；

创建目录；

通过API函数发送错误代码；

枚举特定文件夹的文件；

上传文件到C2服务器；

创建一个目录，保存从C2下载的文件。

Proto8还有一个插件加载系统，用来提供与驻留、UAC绕过、提供后门能力、绕过能相关的功能。

其中一个插件会操作注册表来创建一个新的用户，然后使用该新账户在没有admin密码的情况下建立与该机器的RDP连接。该插件启用了匿名SID，允许Null Session 用户访问共享的网络文件夹，禁用admin许可来使所有的APP都能以完全权限运行。

本文翻译自：https://decoded.avast.io/luigicamastra/operation-dragon-castling-apt-group-targeting-betting-companies/ https://www.bleepingcomputer.com/news/security/hackers-exploit-new-wps-office-flaw-to-breach-betting-firms/如若转载，请注明原文地址