Хакерская группировка DarkHotel эксплуатировала 0-day уязвимость в VBScript

Исследователи безопасности из компании Trend Micro раскрыли подробности новой вредоносной кампании, в ходе которой хакерская группировка DarkHotel, предположительно связанная с северокорейским правительством, активно эксплуатировала уязвимость нулевого дня в движке VBScript.

По словам специалистов, первые случаи эксплуатации CVE-2018-8373 , позволяющей злоумышленнику выполнить произвольный код на компьютере жертвы, были зафиксированы 11 июля 2018 года. Во вторник, 14 августа, Microsoft выпустила исправление, устраняющее данную проблему.

После анализа эксплоита исследователи обнаружили, что в нем используется уже применявшийся ранее метод обфускации. В частности, аналогичный метод был использован в эксплоите для другой уязвимости в VBScript (CVE-2018-8174), известной под названием Double Kill.

По словам специалистов из компании Qihoo 360, CVE-2018-8373, как и Double Kill, вероятнее всего связана с хакерской группировкой DarkHotel. Об этом свидетельствуют ряд характерных черт в коде эксплоитов, а также обнаруженные во вредоносах одинаковые имена доменов.

Хакерская группировка DarkHotel хорошо известна из-за взлома Wi-Fi сетей в дорогих отелях и шпионажа за руководителями крупных компаний. Впервые о ней заговорили в ноябре 2014 года, после отчета Лаборатории Каперского о целенаправленных атаках в Азии. В арсенале хакеров присутствовали инструменты для взлома Wi-Fi сетей и несколько эксплоитов для уязвимостей нулевого дня. Примерно через год группировка начала использовать новую технологию взлома и эксплоит из набора Hacking Team.

Источник