雷鋒網(wǎng)消息，世界上沒有密不透風(fēng)的墻，VBScript（即 Visual Basic 腳本語言）引擎中的一個(gè)漏洞就被黑客利用。據(jù) Bleepingcomputer 美國時(shí)間 8 月 18 日?qǐng)?bào)道，黑客的目標(biāo)是攻破 Darkhotel 組織（APT-C-06）盯上的系統(tǒng)。

最新版的 Window 和 IE11 都內(nèi)置了 VBScript 引擎，這個(gè)漏洞曝光后，微軟禁用了在其瀏覽器的默認(rèn)配置中執(zhí)行 VBScript 的選項(xiàng)，對(duì)這一漏洞進(jìn)行了封堵。

不過，與黑客的斗爭是一場(chǎng)持久戰(zhàn)，他們還有別的方法來加載腳本。比如，Office 套件中那些依賴 IE 引擎來加載和呈現(xiàn) Web 內(nèi)容的應(yīng)用。

今年 7 月微軟推送 Windows 定期更新后第二天，趨勢(shì)科技的安全專家就發(fā)現(xiàn) VBScript 中的漏洞被人利用了。這個(gè)被命名為 CVE-2018-8373 的 Bug 在本月的更新中被解決掉了，它是個(gè)使用后釋放內(nèi)存崩潰 Bug，能方便黑客在被攻破的計(jì)算機(jī)上運(yùn)行殼代碼。

對(duì)攻擊代碼進(jìn)行分析后，研究人員發(fā)現(xiàn)它用了和另一個(gè) VBScript 漏洞攻擊相同的迷惑技術(shù)，這個(gè)漏洞（CVE-2018-8174）在五月的更新中就被封堵了，而發(fā)現(xiàn)這個(gè)被戲稱為“Double Kill”漏洞的研究人員來自奇虎360。

黑客利用兩個(gè)漏洞運(yùn)行的殼代碼

“攻擊技術(shù)的相似讓研究人員感覺它們出自同一撥黑客之手”，趨勢(shì)科技的 Elliot Cao 說道。

奇虎 360 的安全研究人員用一些附加參數(shù)從側(cè)面證明了這一推論。他們?cè)诓┪闹兄赋觯厔?shì)科技對(duì) CVE-2018-8373 的分析顯示，下載 Double Kill 攻擊代碼時(shí)，它引用了 Office 文檔中嵌入的相同域名。

Double Kill 的域名托管了惡意 VBScript

5月，奇虎 360 的專家也分析了 Double Kill，他們確認(rèn)這確實(shí)是出自 Darkhotel 組織之手，因?yàn)楣魰r(shí)使用的工具和方法完全就是 Darkhotel 的風(fēng)格。

“在分析時(shí)我們發(fā)現(xiàn)惡意軟件中使用的解密算法和 Darkhotel 所用的如出一轍?！逼婊?360 在研究報(bào)告中寫道。他們還發(fā)現(xiàn)，Darkhotel 正利用 Double Kill 搞網(wǎng)絡(luò)間諜活動(dòng)，而中國就是其主要目標(biāo)之一。

卡巴斯基實(shí)驗(yàn)室 2014 年時(shí)揭開了 Darkhotel 的面紗，他們?cè)?2007 年就嗅到了這個(gè)神秘組織的氣味。在安全專家看來，這是一個(gè)以住在亞洲豪華賓館企業(yè)高管和政府組織代表為目標(biāo)且長期運(yùn)營的黑客組織。

Darkhotel 經(jīng)常利用高檔產(chǎn)品中的零日漏洞發(fā)動(dòng)攻擊也顯示，這是一個(gè)高度專業(yè)的組織，而且它們背后還有個(gè)不差錢的贊助者。

Darkhotel 盯上的都是“人上人”

雷鋒網(wǎng)了解到，本月月初麥克菲與 Intezer 的聯(lián)合研究顯示，Darkhotel 與朝鮮有著千絲萬縷的聯(lián)系。研究人員對(duì)將其與一系列朝鮮支持的攻擊進(jìn)行對(duì)比，發(fā)現(xiàn) 2009-2017 年間的攻擊工具確實(shí)共用了不少相同的特殊代碼。為此，研究人員還專門制作了一張惡意軟件家族圖譜。

研究人員制作的惡意軟件家族圖譜

通過深挖，研究人員還確認(rèn)了一點(diǎn)，那就是 Darkhotel  與臭名昭著的 Dark Seoul 惡意軟件有直接聯(lián)系，而當(dāng)年這個(gè)軟件可是讓索尼影業(yè)元?dú)獯髠?/strong>

雷鋒網(wǎng)Via. Bleeping Computer

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。