朝鲜 Darkhotel 黑客组织被指利用 VBScript 引擎中的一个漏洞攻陷目标系统。
VBScript 可在 Windows 和 IE 11 最新版本上使用。不过微软在浏览器的默认设置中禁用了 Windows 最新版本中的 VBScript 执行,以解决该漏洞。尽管如此,但还存在加载脚本的其它方法。例如,Office 组件中的应用依靠 IE 引擎加载并渲染 web 内容。
趋势科技公司的安全研究员早在微软于7月份交付 Windows 常规更新一天后就注意到这个 VBScript 漏洞遭利用。该漏洞的 CVE 编号是 CVE-2018-8373,已在本月的补丁日修复。它是一个使用后释放内存损坏漏洞,能让攻击者在受攻陷计算机上运行 shellcode。
分析利用代码后,研究人员发现它和5月份修复的老旧 VBScript 漏洞 CVE-2018-8174 使用的混淆技术一样。这个老旧漏洞被称为“双杀 (Double Kill)”,是由奇虎360报告的。奇虎360指出,趋势科技公司对 CVE-2018-8373 漏洞的分析引用了内嵌在 Office 文档中同样的域名以加载“双杀”利用代码。
5月份,奇虎360公司的专家分析了“双杀”并证实了它和 Darkhotel 组织 (APT-C-06) 之间的关联。专家从黑客组织已经使用的工具和方法得出这一结论。“双杀”认为解密算法和 APT-C-06 的解密算法相似,并表示它运行的是网络间谍组织,而中国是主要的攻击目标之一。
卡巴斯基实验室在2014年发现了 Darkhotel 组织,并表示早在2007年就开始追踪其活动。专家认为该组织长期针对住在亚洲奢侈酒店的企业高管和政府组织机构代表发动攻击。
利用知名产品中的 0day 漏洞这一事实说明,Darkhotel 组织是一个高度专业的组织或者有强大的资金支持。
本月初,迈克菲和 Intezer 公司联合明确表示,Darkhotel 和朝鲜之间存在关联。它们联合分析了和朝鲜有关联的多次攻击活动中使用的恶意软件。分析了2009年至2017年使用的代码之后,研究员将这些恶意软件家族连接在一起。
研究指出,Darkhotel 和“黑暗首尔 (Dark Seoul)”恶意软件之间直接相关,而这款恶意软件和“Blockbuster 行动”(即 FBI 认为朝鲜发动的索尼影业黑客事件)之间存在关联。
相关内容
利用CVE-2018-8373 0day漏洞的攻击与Darkhotel团伙相关的分析
Zero-Day In Microsoft’s VBScript Engine Used By Darkhotel APT