微软VBScirpt引擎中的0day漏洞遭Darkhotel APT利用

阅读量363066

|评论2

发布时间 : 2018-08-20 16:59:30

x
译文声明

本文是翻译文章,文章原作者 Ionut Ilascu,文章来源:BleepingComputer

原文地址:https://www.bleepingcomputer.com/news/security/zero-day-in-microsofts-vbscript-engine-used-by-darkhotel-apt/

译文仅供参考,具体内容表达以及含义原文为准。

朝鲜 Darkhotel 黑客组织被指利用 VBScript 引擎中的一个漏洞攻陷目标系统。

VBScript 可在 Windows 和 IE 11 最新版本上使用。不过微软在浏览器的默认设置中禁用了 Windows 最新版本中的 VBScript 执行,以解决该漏洞。尽管如此,但还存在加载脚本的其它方法。例如,Office 组件中的应用依靠 IE 引擎加载并渲染 web 内容。

趋势科技公司的安全研究员早在微软于7月份交付 Windows 常规更新一天后就注意到这个 VBScript 漏洞遭利用。该漏洞的 CVE 编号是 CVE-2018-8373,已在本月的补丁日修复。它是一个使用后释放内存损坏漏洞,能让攻击者在受攻陷计算机上运行 shellcode。

分析利用代码后,研究人员发现它和5月份修复的老旧 VBScript 漏洞 CVE-2018-8174 使用的混淆技术一样。这个老旧漏洞被称为“双杀 (Double Kill)”,是由奇虎360报告的。奇虎360指出,趋势科技公司对 CVE-2018-8373 漏洞的分析引用了内嵌在 Office 文档中同样的域名以加载“双杀”利用代码。

5月份,奇虎360公司的专家分析了“双杀”并证实了它和 Darkhotel 组织 (APT-C-06) 之间的关联。专家从黑客组织已经使用的工具和方法得出这一结论。“双杀”认为解密算法和 APT-C-06 的解密算法相似,并表示它运行的是网络间谍组织,而中国是主要的攻击目标之一。

卡巴斯基实验室在2014年发现了 Darkhotel 组织,并表示早在2007年就开始追踪其活动。专家认为该组织长期针对住在亚洲奢侈酒店的企业高管和政府组织机构代表发动攻击。

利用知名产品中的 0day 漏洞这一事实说明,Darkhotel 组织是一个高度专业的组织或者有强大的资金支持。

本月初,迈克菲和 Intezer 公司联合明确表示,Darkhotel 和朝鲜之间存在关联。它们联合分析了和朝鲜有关联的多次攻击活动中使用的恶意软件。分析了2009年至2017年使用的代码之后,研究员将这些恶意软件家族连接在一起。

研究指出,Darkhotel 和“黑暗首尔 (Dark Seoul)”恶意软件之间直接相关,而这款恶意软件和“Blockbuster 行动”(即 FBI 认为朝鲜发动的索尼影业黑客事件)之间存在关联。

 

相关内容

利用CVE-2018-8373 0day漏洞的攻击与Darkhotel团伙相关的分析

Zero-Day In Microsoft’s VBScript Engine Used By Darkhotel APT

CVE-2018-8373:VBScript引擎UAF漏洞

本文翻译自BleepingComputer 原文链接。如若转载请注明出处。
分享到:微信
+12赞
收藏
奇安信代码卫士
分享到:微信

发表评论

奇安信代码卫士

奇安信代码卫士是国内第一家专注于软件开发安全的产品线,产品涵盖代码安全缺陷检测、软件编码合规检测、开源组件溯源检测三大方向,分别解决软件开发过程中的安全缺陷和漏洞问题、编码合规性问题、开源组件安全管控问题。微信公号:codesafe。

  • 文章
  • 387
  • 粉丝
  • 104

热门推荐

文章目录
内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66