黑客組織 Darkhotel 疑與北韓有關,借 VBScript 漏洞盯上「人上人」

尋夢新聞LINE@每日推播熱門推薦文章,趣聞不漏接❤️

加入LINE好友

黑客組織 Darkhotel 疑與北韓有關,借 VBScript 漏洞盯上「人上人」 科技 第1張

雷鋒網消息,世界上沒有密不透風的牆,VB(即 Visual Basic 腳本語言)引擎中的一個漏洞就被黑客利用。據 Bleepingcomputer 美國時間 8 月 18 日報導,黑客的目標是攻破 Darkhotel 組織(APT-C-06)盯上的系統。

最新版的 Window 和 IE11 都內置了 VB 引擎,這個漏洞曝光後,微軟禁用了在其瀏覽器的默認配置中執行 VB 的選項,對這一漏洞進行了封堵。

不過,與黑客的鬥爭是一場持久戰,他們還有別的方法來加載腳本。比如,Office 套件中那些依賴 IE 引擎來加載和呈現 Web 內容的應用。

今年 7 月微軟推送 Windows 定期更新後第二天,趨勢科技的安全專家就發現 VB 中的漏洞被人利用了。這個被命名為 CVE-2018-8373 的 Bug 在本月的更新中被解決掉了,它是個使用後釋放記憶體崩潰 Bug,能方便黑客在被攻破的計算機上運行殼代碼。

對攻擊代碼進行分析後,研究人員發現它用了和另一個 VB 漏洞攻擊相同的迷惑技術,這個漏洞(CVE-2018-8174)在五月的更新中就被封堵了,而發現這個被戲稱為「Double Kill」漏洞的研究人員來自奇虎360。

黑客組織 Darkhotel 疑與北韓有關,借 VBScript 漏洞盯上「人上人」 科技 第2張

黑客利用兩個漏洞運行的殼代碼

「攻擊技術的相似讓研究人員感覺它們出自同一撥黑客之手」,趨勢科技的 Elliot Cao 說道。

奇虎 360 的安全研究人員用一些附加參數從側面證明了這一推論。他們在博文中指出,趨勢科技對 CVE-2018-8373 的分析顯示,下載 Double Kill 攻擊代碼時,它引用了 Office 文檔中嵌入的相同域名。

黑客組織 Darkhotel 疑與北韓有關,借 VBScript 漏洞盯上「人上人」 科技 第3張

Double Kill 的域名托管了惡意 VB

5月,奇虎 360 的專家也分析了 Double Kill,他們確認這確實是出自 Darkhotel 組織之手,因為攻擊時使用的工具和方法完全就是 Darkhotel 的風格。

「在分析時我們發現惡意軟體中使用的解密算法和 Darkhotel 所用的如出一轍。」奇虎 360 在研究報告中寫道。他們還發現,Darkhotel 正利用 Double Kill 搞網路間諜活動,而中國就是其主要目標之一。

卡巴斯基實驗室 2014 年時揭開了 Darkhotel 的面紗,他們在 2007 年就嗅到了這個神秘組織的氣味。在安全專家看來,這是一個以住在亞洲豪華賓館企業高管和政府組織代表為目標且長期經營的黑客組織。

Darkhotel 經常利用高檔產品中的零日漏洞發動攻擊也顯示,這是一個高度專業的組織,而且它們背後還有個不差錢的讚助者。

黑客組織 Darkhotel 疑與北韓有關,借 VBScript 漏洞盯上「人上人」 科技 第4張

Darkhotel 盯上的都是「人上人」

雷鋒網了解到,本月月初麥克菲與 Intezer 的聯合研究顯示,Darkhotel 與朝鮮有著千絲萬縷的聯繫。研究人員對將其與一系列朝鮮支持的攻擊進行對比,發現 2009-2017 年間的攻擊工具確實共用了不少相同的特殊代碼。為此,研究人員還專門製作了一張惡意軟體家族圖譜。

黑客組織 Darkhotel 疑與北韓有關,借 VBScript 漏洞盯上「人上人」 科技 第5張

研究人員製作的惡意軟體家族圖譜

通過深挖,研究人員還確認了一點,那就是 Darkhotel 與臭名昭著的 Dark Seoul 惡意軟體有直接聯繫,而當年這個軟體可是讓SONY影業元氣大傷。

雷鋒網Via. Bleeping Computer