IE浏览器脚本引擎——2018年朝鲜黑客最爱的攻击目标

IE浏览器脚本引擎——2018年朝鲜黑客最爱的攻击目标

朝鲜黑客组织常采用的攻击切入点是那些过时陈旧的技术,因为其中存在大量未修补的缺陷,极容易让黑客得逞。

安全专家最近发现,朝鲜某个APT黑客组织在IE浏览器脚本引擎的两个旧漏洞基础上创建了新漏洞,IE浏览器脚本引擎成为朝鲜黑客组织最喜欢的攻击目标。

DarkHotel黑客组织

该黑客组织名为DarkHotel,是一个高度专业且有强大资金支持的网络间谍组织,其在网络安全界又被称为APT-C-06、Dubnium、Fallout Team、Karba、Luder、Nemim、SIG25和Tapaoux。迈克菲和许多其他的网络安全公司认为其与朝鲜政权存在着某种联系。这个黑客组织自2007年以来一直活跃,但它直到2014年才被公开曝光,当时卡巴斯基实验室的研究人员就发现了Darkhotel组织的间谍活动。在其发布的调查报告中,详细描述了一项复杂的攻击活动,其中黑客破坏了数百家酒店的内部WiFi网络,以便通过恶意软件感染高知名度的住客。

该黑客组织还通过使用特制的高级鱼叉式网络钓鱼进行攻击。鱼叉式网络钓鱼信息附带恶意文件,通常是一个精心设计的SWF文件,作为一个下载链接嵌入在一个Word文档中。该组织长期针对住在亚洲奢侈酒店的企业高管和政府组织机构代表,目的可能是从这些住在豪华酒店的高管身上窃取敏感数据。令人担忧的是,该黑客组织的成员现在仍然活跃。研究表明Darkhotel与臭名昭著的Dark Seoul恶意软件有直接联系,而当年这个软件可是让索尼影业元气大伤,所以有研究人员认为Darkhotel与朝鲜之间存在关联。

尽管声名狼藉,但DarkHotel并没有停止攻击,继续以相同的策略攻击受害者——最近的是2016年和2017年的某些政治人物。除此之外,DarkHotel也进行了其他行动,例如该组织曾将恶意软件隐藏在一份朝鲜反病毒副本中,随后发送给外国研究人员。

攻击流程

IE浏览器脚本引擎——2018年朝鲜黑客最爱的攻击目标

1.Darkhotel攻击某些目标高档酒店;

2.高知名度住客入住被攻击的高档酒店;

3.酒店工作人员连接WiFi;

4.登记住客姓名、房号;

5.攻击者提供合法软件更新;

6.更新包引导页面实为后门安装程序;

7.攻击者使用一系列工具收集数据、窃取缓存中的密码,以及登陆信息。

IE浏览器脚本引擎漏洞

2018年,该组织一直非常活跃,并且多次针对相同的目标——IE浏览器的VBScript脚本引擎。研究人员发现DarkHotel在今年4月发现并利用了第一个IE浏览器0-day漏洞(CVE-2018-8174),然后在8月又发现了第二个(CVE-2018-8373)。微软分别于5月和9月修补了这两个漏洞。

根据今天发布的一份新报告,奇虎360高级威胁响应小组的研究人员表示,该黑客组织还为两个较旧的IE浏览器脚本引擎漏洞创建了新漏洞——即CVE-2017-11869和CVE-2016-0189。

IE浏览器脚本引擎——2018年朝鲜黑客最爱的攻击目标

四个IE脚本漏洞

2017年7月,微软宣布禁止在2016年秋天发布的Windows 10 Fall Creators Update中附带的IE自动执行VBScript代码的功能。这一变化意味着黑客无法使用VBScript代码通过Windows 10中的IE浏览器攻击用户,旧版Windows上也同样如此。

尽管这一变化阻止了许多网络犯罪活动,但DarkHotel很快找到了应对之策。据悉,DarkHotel选择使用嵌入在Office文档中的VBScript漏洞,并且没有直接通过IE浏览器直接攻击用户。相反,DarkHotel将Word文档发送给受害者,在这些文档中,他们通过可嵌入的IE框架来加载恶意网页。DarkHotel黑客的做法的确很聪明,因为在这种情况下仍然允许VBScript代码执行。

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/130638.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code