黑客组织 Darkhotel 疑与朝鲜有关,借 VBScript 漏洞盯上“人上人”

2018 年 8 月 20 日 雷锋网

▲点击上方 雷锋网 关注

文 | 大壮旅

来自雷锋网(leiphone-sz)的报道

雷锋网消息,世界上没有密不透风的墙,VBScript(即 Visual Basic 脚本语言)引擎中的一个漏洞就被黑客利用。据 Bleepingcomputer 美国时间 8 月 18 日报道,黑客的目标是攻破 Darkhotel 组织(APT-C-06)盯上的系统。

最新版的 Window 和 IE11 都内置了 VBScript 引擎,这个漏洞曝光后,微软禁用了在其浏览器的默认配置中执行 VBScript 的选项,对这一漏洞进行了封堵。

不过,与黑客的斗争是一场持久战,他们还有别的方法来加载脚本。比如,Office 套件中那些依赖 IE 引擎来加载和呈现 Web 内容的应用。

今年 7 月微软推送 Windows 定期更新后第二天,趋势科技的安全专家就发现 VBScript 中的漏洞被人利用了。这个被命名为 CVE-2018-8373 的 Bug 在本月的更新中被解决掉了,它是个使用后释放内存崩溃 Bug,能方便黑客在被攻破的计算机上运行壳代码。

对攻击代码进行分析后,研究人员发现它用了和另一个 VBScript 漏洞攻击相同的迷惑技术,这个漏洞(CVE-2018-8174)在五月的更新中就被封堵了,而发现这个被戏称为“Double Kill”漏洞的研究人员来自奇虎360。

黑客利用两个漏洞运行的壳代码

“攻击技术的相似让研究人员感觉它们出自同一拨黑客之手”,趋势科技的 Elliot Cao 说道。

奇虎 360 的安全研究人员用一些附加参数从侧面证明了这一推论。他们在博文中指出,趋势科技对 CVE-2018-8373 的分析显示,下载 Double Kill 攻击代码时,它引用了 Office 文档中嵌入的相同域名。

Double Kill 的域名托管了恶意 VBScript

5月,奇虎 360 的专家也分析了 Double Kill,他们确认这确实是出自 Darkhotel 组织之手,因为攻击时使用的工具和方法完全就是 Darkhotel 的风格。

“在分析时我们发现恶意软件中使用的解密算法和 Darkhotel 所用的如出一辙。”奇虎 360 在研究报告中写道。他们还发现,Darkhotel 正利用 Double Kill 搞网络间谍活动,而中国就是其主要目标之一。

卡巴斯基实验室 2014 年时揭开了 Darkhotel 的面纱,他们在 2007 年就嗅到了这个神秘组织的气味。在安全专家看来,这是一个以住在亚洲豪华宾馆企业高管和政府组织代表为目标且长期运营的黑客组织。

Darkhotel 经常利用高档产品中的零日漏洞发动攻击也显示,这是一个高度专业的组织,而且它们背后还有个不差钱的赞助者。

Darkhotel 盯上的都是“人上人”

雷锋网了解到,本月月初麦克菲与 Intezer 的联合研究显示,Darkhotel 与朝鲜有着千丝万缕的联系。研究人员对将其与一系列朝鲜支持的攻击进行对比,发现 2009-2017 年间的攻击工具确实共用了不少相同的特殊代码。为此,研究人员还专门制作了一张恶意软件家族图谱。

研究人员制作的恶意软件家族图谱

通过深挖,研究人员还确认了一点,那就是 Darkhotel  与臭名昭著的 Dark Seoul 恶意软件有直接联系,而当年这个软件可是让索尼影业元气大伤。

雷锋网Via. Bleeping Computer

- END -



关注雷锋网(leiphone-sz)回复 加读者群交个朋友

登录查看更多
0

相关内容

Visual Basic Script 的简称。
【ICML2020-哈佛】深度语言表示中可分流形
专知会员服务
12+阅读 · 2020年6月2日
【复旦大学-SP2020】NLP语言模型隐私泄漏风险
专知会员服务
24+阅读 · 2020年4月20日
广东疾控中心《新型冠状病毒感染防护》,65页pdf
专知会员服务
18+阅读 · 2020年1月26日
【论文】欺骗学习(Learning by Cheating)
专知会员服务
26+阅读 · 2020年1月3日
西工大、北航等被美国列入制裁“实体名单”
材料科学与工程
11+阅读 · 2019年5月25日
“黑客”入门学习之“windows系统漏洞详解”
安全优佳
8+阅读 · 2019年4月17日
已删除
雪球
6+阅读 · 2018年8月19日
周末深夜,学妹说她想做Python数据分析师
机器学习算法与Python学习
4+阅读 · 2018年6月7日
朋友圈新功能,治愈大波强迫症患者
腾讯
4+阅读 · 2017年7月14日
Arxiv
24+阅读 · 2020年3月11日
Arxiv
6+阅读 · 2018年4月23日
Arxiv
4+阅读 · 2017年11月4日
VIP会员
相关资讯
西工大、北航等被美国列入制裁“实体名单”
材料科学与工程
11+阅读 · 2019年5月25日
“黑客”入门学习之“windows系统漏洞详解”
安全优佳
8+阅读 · 2019年4月17日
已删除
雪球
6+阅读 · 2018年8月19日
周末深夜,学妹说她想做Python数据分析师
机器学习算法与Python学习
4+阅读 · 2018年6月7日
朋友圈新功能,治愈大波强迫症患者
腾讯
4+阅读 · 2017年7月14日
Top
微信扫码咨询专知VIP会员