雷鋒網(wǎng)消息，世界上沒有密不透風的墻，VBScript（即 Visual Basic 腳本語言）引擎中的一個漏洞就被黑客利用。據(jù) Bleepingcomputer 美國時間 8 月 18 日報道，黑客的目標是攻破 Darkhotel 組織（APT-C-06）盯上的系統(tǒng)。

最新版的 Window 和 IE11 都內(nèi)置了 VBScript 引擎，這個漏洞曝光后，微軟禁用了在其瀏覽器的默認配置中執(zhí)行 VBScript 的選項，對這一漏洞進行了封堵。

不過，與黑客的斗爭是一場持久戰(zhàn)，他們還有別的方法來加載腳本。比如，Office 套件中那些依賴 IE 引擎來加載和呈現(xiàn) Web 內(nèi)容的應用。

今年 7 月微軟推送 Windows 定期更新后第二天，趨勢科技的安全專家就發(fā)現(xiàn) VBScript 中的漏洞被人利用了。這個被命名為 CVE-2018-8373 的 Bug 在本月的更新中被解決掉了，它是個使用后釋放內(nèi)存崩潰 Bug，能方便黑客在被攻破的計算機上運行殼代碼。

對攻擊代碼進行分析后，研究人員發(fā)現(xiàn)它用了和另一個 VBScript 漏洞攻擊相同的迷惑技術(shù)，這個漏洞（CVE-2018-8174）在五月的更新中就被封堵了，而發(fā)現(xiàn)這個被戲稱為“Double Kill”漏洞的研究人員來自奇虎360。

黑客利用兩個漏洞運行的殼代碼

“攻擊技術(shù)的相似讓研究人員感覺它們出自同一撥黑客之手”，趨勢科技的 Elliot Cao 說道。

奇虎 360 的安全研究人員用一些附加參數(shù)從側(cè)面證明了這一推論。他們在博文中指出，趨勢科技對 CVE-2018-8373 的分析顯示，下載 Double Kill 攻擊代碼時，它引用了 Office 文檔中嵌入的相同域名。

Double Kill 的域名托管了惡意 VBScript

5月，奇虎 360 的專家也分析了 Double Kill，他們確認這確實是出自 Darkhotel 組織之手，因為攻擊時使用的工具和方法完全就是 Darkhotel 的風格。

“在分析時我們發(fā)現(xiàn)惡意軟件中使用的解密算法和 Darkhotel 所用的如出一轍?！逼婊?360 在研究報告中寫道。他們還發(fā)現(xiàn)，Darkhotel 正利用 Double Kill 搞網(wǎng)絡間諜活動，而中國就是其主要目標之一。

卡巴斯基實驗室 2014 年時揭開了 Darkhotel 的面紗，他們在 2007 年就嗅到了這個神秘組織的氣味。在安全專家看來，這是一個以住在亞洲豪華賓館企業(yè)高管和政府組織代表為目標且長期運營的黑客組織。

Darkhotel 經(jīng)常利用高檔產(chǎn)品中的零日漏洞發(fā)動攻擊也顯示，這是一個高度專業(yè)的組織，而且它們背后還有個不差錢的贊助者。

Darkhotel 盯上的都是“人上人”

雷鋒網(wǎng)了解到，本月月初麥克菲與 Intezer 的聯(lián)合研究顯示，Darkhotel 與朝鮮有著千絲萬縷的聯(lián)系。研究人員對將其與一系列朝鮮支持的攻擊進行對比，發(fā)現(xiàn) 2009-2017 年間的攻擊工具確實共用了不少相同的特殊代碼。為此，研究人員還專門制作了一張惡意軟件家族圖譜。

研究人員制作的惡意軟件家族圖譜

通過深挖，研究人員還確認了一點，那就是 Darkhotel  與臭名昭著的 Dark Seoul 惡意軟件有直接聯(lián)系，而當年這個軟件可是讓索尼影業(yè)元氣大傷。

雷鋒網(wǎng)Via. Bleeping Computer

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。