黑客組織 Darkhotel 疑與朝鮮有關，借 VBScript 漏洞盯上“人上人”

雷鋒網消息，世界上沒有密不透風的墻，VBScript（即 Visual Basic 腳本語言）引擎中的一個漏洞就被黑客利用。據 Bleepingcomputer 美國時間 8 月 18 日報道，黑客的目標是攻破 Darkhotel 組織（APT-C-06）盯上的系統。

最新版的 Window 和 IE11 都內置了 VBScript 引擎，這個漏洞曝光后，微軟禁用了在其瀏覽器的默認配置中執行 VBScript 的選項，對這一漏洞進行了封堵。

不過，與黑客的斗爭是一場持久戰，他們還有別的方法來加載腳本。比如，Office 套件中那些依賴 IE 引擎來加載和呈現 Web 內容的應用。

今年 7 月微軟推送 Windows 定期更新后第二天，趨勢科技的安全專家就發現 VBScript 中的漏洞被人利用了。這個被命名為 CVE-2018-8373 的 Bug 在本月的更新中被解決掉了，它是個使用后釋放內存崩潰 Bug，能方便黑客在被攻破的計算機上運行殼代碼。

對攻擊代碼進行分析后，研究人員發現它用了和另一個 VBScript 漏洞攻擊相同的迷惑技術，這個漏洞（CVE-2018-8174）在五月的更新中就被封堵了，而發現這個被戲稱為“Double Kill”漏洞的研究人員來自奇虎360。

黑客利用兩個漏洞運行的殼代碼

“攻擊技術的相似讓研究人員感覺它們出自同一撥黑客之手”，趨勢科技的 Elliot Cao 說道。

奇虎 360 的安全研究人員用一些附加參數從側面證明了這一推論。他們在博文中指出，趨勢科技對 CVE-2018-8373 的分析顯示，下載 Double Kill 攻擊代碼時，它引用了 Office 文檔中嵌入的相同域名。

Double Kill 的域名托管了惡意 VBScript

5月，奇虎 360 的專家也分析了 Double Kill，他們確認這確實是出自 Darkhotel 組織之手，因為攻擊時使用的工具和方法完全就是 Darkhotel 的風格。

“在分析時我們發現惡意軟件中使用的解密算法和 Darkhotel 所用的如出一轍?！逼婊?360 在研究報告中寫道。他們還發現，Darkhotel 正利用 Double Kill 搞網絡間諜活動，而中國就是其主要目標之一。

卡巴斯基實驗室 2014 年時揭開了 Darkhotel 的面紗，他們在 2007 年就嗅到了這個神秘組織的氣味。在安全專家看來，這是一個以住在亞洲豪華賓館企業高管和政府組織代表為目標且長期運營的黑客組織。

Darkhotel 經常利用高檔產品中的零日漏洞發動攻擊也顯示，這是一個高度專業的組織，而且它們背后還有個不差錢的贊助者。

Darkhotel 盯上的都是“人上人”

雷鋒網了解到，本月月初麥克菲與 Intezer 的聯合研究顯示，Darkhotel 與朝鮮有著千絲萬縷的聯系。研究人員對將其與一系列朝鮮支持的攻擊進行對比，發現 2009-2017 年間的攻擊工具確實共用了不少相同的特殊代碼。為此，研究人員還專門制作了一張惡意軟件家族圖譜。

研究人員制作的惡意軟件家族圖譜

通過深挖，研究人員還確認了一點，那就是 Darkhotel  與臭名昭著的 Dark Seoul 惡意軟件有直接聯系，而當年這個軟件可是讓索尼影業元氣大傷。

雷鋒網Via. Bleeping Computer