安全加

beta

推荐

安全头条

安全知识

登录注册
首页>安全头条>

朝鲜Darkhotel APT组织在野外攻击CVE-2018-8373 相关windows版本均受影响

漏洞 APT攻击 APT组织 黑客 CVE-2018-8174 CVE-2018-8373 VBScript引擎漏洞

与朝鲜有关的黑暗酒店 APT小组正在利用VBScript引擎中的CVE-2018-8373漏洞进行野外攻击。 该漏洞影响Internet Explorer 9,10和11,并影响了Windows最新版本的VBScript引擎。

远程攻击者利用该漏洞通过诱骗受害者通过Internet Explorer查看特制网站来控制易受攻击的系统。 攻击者还可以在承载IE呈现引擎的应用程序或Microsoft Office文档中嵌入标记为“安全初始化”的ActiveX控件。

“脚本引擎在Internet Explorer中处理内存中对象的方式中存在一个远程执行代码漏洞。 该漏洞可能以一种攻击者可以在当前用户的上下文中执行任意代码的方式来破坏内存。 成功利用此漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录,则成功利用此漏洞的攻击者可以控制受影响的系统。 然后攻击者可以安装程序; 查看,更改或删除数据; 或创建具有完全用户权限的新帐户。“

对CVE-2018-8373的漏洞利用代码的分析显示,它共享了为触发CVE-2018-8174漏洞的另一个漏洞实现的混淆技术

这些漏洞的相似之处表明它是由同一个攻击者开发的。

“我们使用启发式方法发现了这种漏洞,这导致了更深入的分析。 有趣的是,我们发现这个漏洞利用示例使用了与CVE-2018-8174相同的混淆技术  ,这是一个VBScript引擎远程代码执行漏洞, 我们怀疑这个漏洞利用样本来自同一个创建者。我们的分析显示,它在vbscript.dll中使用了一个新的免费后使用(UAF)漏洞,该漏洞在最新的VBScript引擎中仍未修补。“

专家们发现,在最近的攻击中嵌入在Office文档中的域名与以前与朝鲜链接的APT组相关的攻击中的Double Kill漏洞利用代码相同。

相关的同源0day攻击样本“状态

“并发现在野外发现的攻击时间和趋势技术”双杀“0day攻击当天涉嫌使用办公文档样本的0day攻击,嵌入在Offce文档样本中的域名和给出的域名格式趋势科技(http:// windows-updater [。] net / stack / ov [。] php?w = 1 \ x00who = 1)“

研究人员根据与威胁行为者相关的TTP(例如恶意软件使用的解密算法与Dark Hotel的解密算法相同)将CVE-2018-8373漏洞利用与Dark Hotel相关联。

专家推测,CVE-2018-8373用于针对中国的网络间谍活动。

文章附件

文章无附件

*文章为作者独立观点,不代表安全加立场

本文由:安全加发布,版权归属于原作者。 如果转载,请注明出处及本文链接:

如果此文章侵权,请留言,我们进行删除。

作者

您可能对以下关键词感兴趣哟,请用鼠标滑过或点击关键词 :

相关文章

无相关文章
无相关文章

参与讨论

0/300 发表评论
当前无评论

快速注册

请填写正确的邮箱格式,不能为空
请填写验证码
密码应为数字、字母、英文标点符号,长度为6-14位
两次密码不统一
立即注册

已有账号?

登录忘记密码

快速登录

手机号或邮箱不存在
密码错误请重新输入
立即登录

还没有账号?

注册忘记密码
© 2018 安全加 社区. All Rights Reserved.