利用WPS 2012/2013 0day针对中国政府部门的定向攻击

admin

今天早上，我们捕获到一个利用wps 2012/2013 0day针对中国政府部门的钓鱼邮件定向攻击事件。
邮件发件人以2014中国经济形势解析高层报告组委会 标题发出，附件为包含wps2012 0day的攻击文件，目前为止该攻击文件没有杀毒软件可以查杀。

使用MS office 2010打开会提示使用让用户下载wps 2012打开该文件，诱惑用户下载并使用有0day漏洞的wps 2012.

一旦使用WPS 2012 打开文件攻击成功，会释放打开一个迷惑性的正常文件 2014中国经济形势解析高层报告会.doc,并且释放运行 win32_453B.dll_,IE7.EXE_,hostfix.bat_.
目前不确认该0day是否跟前端时间国外exploit-db上是否是一个漏洞，我们还在持续分析跟踪，敬请关注。
同时，我们也正在协助客户分析事件的影响以及缓解的应对措施。
翰海源研究人员已经确认在最新的WPS 2012/2013上都可以利用该漏洞，我们也正在积极的联系金山公司及时修复该漏洞。同时提醒用户，暂时使用其他字处理软件例如MS office直到针对该漏洞的补丁可用。