[update 2013-12-3 已经确认跟exploit-db那个不是同一个漏洞,it’s really 0day]

今天早上,我们捕获到一个利用wps 2012/2013 0day针对中国政府部门的钓鱼邮件定向攻击事件。

邮件发件人以2014中国经济形势解析高层报告组委会 标题发出,附件为包含wps2012 0day的攻击文件,目前为止该攻击文件没有杀毒软件可以查杀。

提示:利用WPS 2012/2013 0day针对中国政府部门的定向攻击插图

使用MS office 2010打开会提示使用让用户下载wps 2012打开该文件,诱惑用户下载并使用有0day漏洞的wps 2012.

提示:利用WPS 2012/2013 0day针对中国政府部门的定向攻击插图1

一旦使用WPS 2012 打开文件攻击成功,会释放打开一个迷惑性的正常文件 2014中国经济形势解析高层报告会.doc,并且释放运行 win32_453B.dll_,IE7.EXE_,hostfix.bat_.

目前不确认该0day是否跟前端时间国外exploit-db上是否是一个漏洞,我们还在持续分析跟踪,敬请关注。

同时,我们也正在协助客户分析事件的影响以及缓解的应对措施。

翰海源研究人员已经确认在最新的WPS 2012/2013上都可以利用该漏洞,我们也正在积极的联系金山公司及时修复该漏洞。同时提醒用户,暂时使用其他字处理软件例如MS office直到针对该漏洞的补丁可用。

稿源:瀚海源

作者 网路游侠

游侠安全网,前身为网路游侠的信息与网络安全博客,站长张百川。专注:网络安全、系统安全、应用安全、数据库安全、运维安全,及网络安全、信息安全前沿技术研究与发展趋势分析。对关键信息基础设施安全防护管理平台、网络安全态势感知平台、网络安全协调指挥平台有一定关注。