黑客组织 Darkhotel 疑与朝鲜有关,借 VBScript 漏洞盯上“人上人”
雷锋网 (公众号:雷锋网) 消息,世界上没有密不透风的墙,VBScript(即 Visual Basic 脚本语言)引擎中的一个漏洞就被黑客利用。据 Bleepingcomputer 美国时间 8 月 18 日报道,黑客的目标是攻破 Darkhotel 组织(APT-C-06)盯上的系统。
最新版的 Window 和 IE11 都内置了 VBScript 引擎,这个漏洞曝光后,微软禁用了在其浏览器的默认配置中执行 VBScript 的选项,对这一漏洞进行了封堵。
不过,与黑客的斗争是一场持久战,他们还有别的方法来加载脚本。比如,Office 套件中那些依赖 IE 引擎来加载和呈现 Web 内容的应用。
今年 7 月微软推送 Windows 定期更新后第二天,趋势科技的安全专家就发现 VBScript 中的漏洞被人利用了。这个被命名为 CVE-2018-8373 的 Bug 在本月的更新中被解决掉了,它是个使用后释放内存崩溃 Bug,能方便黑客在被攻破的计算机上运行壳代码。
对攻击代码进行分析后,研究人员发现它用了和另一个 VBScript 漏洞攻击相同的迷惑技术,这个漏洞(CVE-2018-8174)在五月的更新中就被封堵了,而发现这个被戏称为“Double Kill”漏洞的研究人员来自奇虎360。
黑客利用两个漏洞运行的壳代码
“攻击技术的相似让研究人员感觉它们出自同一拨黑客之手”,趋势科技的 Elliot Cao 说道。
奇虎 360 的安全研究人员用一些附加参数从侧面证明了这一推论。他们在博文中指出,趋势科技对 CVE-2018-8373 的分析显示, 下载 Double Kill 攻击代码时,它引用了 Office 文档中嵌入的相同域名。
Double Kill 的域名托管了恶意 VBScript
5月,奇虎 360 的专家也分析了 Double Kill,他们确认这确实是出自 Darkhotel 组织之手,因为攻击时使用的工具和方法完全就是 Darkhotel 的风格。
“在分析时我们发现恶意软件中使用的解密算法和 Darkhotel 所用的如出一辙。”奇虎 360 在研究报告中写道。他们还发现, Darkhotel 正利用 Double Kill 搞网络间谍活动,而中国就是其主要目标之一。
卡巴斯基实验室 2014 年时揭开了 Darkhotel 的面纱,他们在 2007 年就嗅到了这个神秘组织的气味。 在安全专家看来,这是一个以住在亚洲豪华宾馆企业高管和政府组织代表为目标且长期运营的黑客组织。
Darkhotel 经常利用高档产品中的零日漏洞发动攻击也显示,这是一个高度专业的组织,而且它们背后还有个不差钱的赞助者。
Darkhotel 盯上的都是“人上人”
雷锋网了解到,本月月初麦克菲与 Intezer 的联合研究显示,Darkhotel 与朝鲜有着千丝万缕的联系。研究人员对将其与一系列朝鲜支持的攻击进行对比,发现 2009-2017 年间的攻击工具确实共用了不少相同的特殊代码。为此,研究人员还专门制作了一张恶意软件家族图谱。
研究人员制作的恶意软件家族图谱
通过深挖,研究人员还确认了一点,那就是 Darkhotel 与臭名昭著的 Dark Seoul 恶意软件有直接联系,而当年这个软件可是让索尼影业元气大伤。
雷锋网Via. Bleeping Computer
雷锋网版权文章,未经授权禁止转载。详情见。