Северокорейская хакерская группировка DarkHotel известна под множеством разных имен и идентификаторов (APT-C-06, Dubnium, Fallout Team, Karba, Luder, Nemim, SIG25, Tapaoux), а ИБ-компании написали о деятельности хакеров немало отчетов.
С КНДР группировку связывают давно. К примеру, летом текущего года было обнародовано совместное исследование компаний McAfee и Intezer, рассказывающее о связи DarkHotel с Северной Кореей. Изучив различные вредоносы и инструменты, датированные 2009-2017 годами, специалисты сумели объединить в одну схему сразу несколько вредоносных кампаний и семейств малвари, обнаружив отчетливые связи между ними.
Считается, что DarkHotel активна с 2007 года, но широкую известность группа приобрела лишь в 2014 году, когда «Лаборатория Касперского» обнаружила хакеров и посвятила деятельности APT детальное исследование.
Хотя с тех пор за деятельностью группы пристально наблюдают множество специалистов, DarkHotel по-прежнему активна. Так, весной и летом 2018 года специалисты обнаруживали, что злоумышленники активно эксплуатируют уязвимости в VBScript, скриптовом движке Internet Explorer.
Тогда в набор августовских обновлений компании Microsoft вошло исправление для уязвимости нулевого дня CVE-2018-8373: удаленное исполнение произвольного кода, связанное с тем, как скриптовый движок Internet Explorer обрабатывает объекты в памяти. Использование данной проблемы позволяет атакующему выполнить код с привилегиями текущего пользователя.
Подробнее об этой проблеме рассказывали специалисты Trend Micro. По данным исследователей, атаки на эту уязвимость начались еще в июле текущего года, и злоумышленники пользовались багом для выполнения шеллкода на уязвимых машинах.
Тщательно изучив эксплоит атакующих, аналитики Trend Micro пришли к выводу, что использованная техника обфускации схожа с техникой, которая ранее применялась для эксплуатации другой уязвимости в VBScript, исправленной в мае 2018 года.
Тот баг, обнаруженный экспертами Qihoo 360, имеет идентификатор CVE-2018-8174 и название Double Kill. Еще весной текущего года специалисты Qihoo 360 заключили, что эту уязвимость (на тот момент 0-day) эксплуатируют хакеры из группы Darkhotel. А выявленное сходство в техниках обфускации позволило предположить, что за новыми атаками стоит та же самая группировка.
Исследователи Qihoo 360 подтвердили выводы коллег из Trend Micro и привели еще одно доказательство этой теории: эксплоит для CVE-2018-8373 оказался связан с тем же доменом, который ранее обнаруживался во вредоносных документах Office. Именно оттуда происходила загрузка эксплоита для проблемы Double Kill.
Теперь эксперты Qihoo 360 обнародовали новый отчет, согласно которому, хакеры из DarkHotel продолжают атаковать бреши в VBScript и даже создали новые эксплоиты для нескольких старых проблем: CVE-2017-11869 и CVE-2016-0189. Исследователи пишут, что как и ранее, им удалось обнаружить сходство в методах обфускации четырех новых эксплоитов с другими инструментами DarkHotel.
Эксперты отмечают, что эксплуатация старых и новых багов в VBScript определенно становится любимым коньком северокорейских хакеров, хотя причины этого ясны не до конца. Конечно, обнаружение уязвимостей нулевого дня и создание эксплоитов для них требуют значительных усилий и времени, однако нельзя сказать, что разработка эксплоитов для более старых проблем, это совсем легкая задача.
Напомню, что разработчикам Microsoft известно об этих проблемах. Так, еще летом 2017 года в компании сообщили, что намерены отключить автоматическое исполнение кода VBScript в новых версиях IE, вышедших после релиза Windows 10 Fall Creators Update. Таким образом, пользователи Internet Explorer для Windows 10 оказались вне опасности. К тому же, Microsoft обещала выпустить патчи для аналогичного отключения автоматического исполнения кода VBScript в версиях браузера для более старых ОС.
После этого злоумышленники сменили тактику, и теперь VBScript-эксплоиты используются для внедрения в документы Office. Такие атаки не задействуют Internet Explorer напрямую, вместо этого вредоносные страницы загружаются во встроенных в документах Word фреймах, где исполнение VBScript пока не запрещено.
Аналитики Qihoo 360 полагают, что сейчас хакеры из DarkHotel стараются использовать старые и новые бреши в VBScript по максимуму, пока их эксплоиты не стали окончательно бесполезны.
Фото: The Daily Beast