APT小组利用VBScript引擎漏洞(CVE-2018-8373)对朝鲜某酒店进行攻击

  • A+
所属分类:网络安全新闻
阿里代金券


推广者专属福利,新客户无门槛领取总价值高达2775元代金券,每种代金券限量500张,先到先得。

APT小组利用VBScript引擎漏洞(CVE-2018-8373)对朝鲜某酒店进行攻击

该漏洞影响Internet Explorer 9,10和11,它是上个月由趋势科技首次披露的,并影响了所有受支持的Windows版本。

远程攻击者利用该漏洞通过诱骗受害者通过Internet Explorer查看特制网站来控制易受攻击的系统。攻击者还可以在承载IE呈现引擎的应用程序或Microsoft Office文档中嵌入标记为“安全初始化”的ActiveX控件。

“脚本引擎在Internet Explorer中处理内存中对象的方式中存在一个远程执行代码漏洞。该漏洞可能以一种攻击者可以在当前用户的上下文中执行任意代码的方式来破坏内存。“读取 微软发布的 安全公告。

“成功利用此漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录,则成功利用此漏洞的攻击者可以控制受影响的系统。然后攻击者可以安装程序; 查看,更改或删除数据; 或创建具有完全用户权限的新帐户。“

CVE-2018-8373的漏洞利用代码的分析显示,它共享了为触发CVE-2018-8174漏洞的另一个漏洞实现的混淆技术。

在 CVE-2018-8174 最早是由中国在安全公司奇虎360专家发现,它是由微软固定在五月。

这些漏洞的相似之处表明它是由同一个威胁行为者开发的。

“我们使用启发式方法发现了这种漏洞,这导致了更深入的分析。有趣的是,我们发现这个漏洞利用示例使用了与CVE-2018-8174相同的混淆技术 ,这是一个VBScript引擎远程代码执行漏洞, 修复 了5月份“趋势科技写道。

“我们怀疑这个漏洞利用样本来自同一个创建者。我们的分析显示,它在vbscript.dll中使用了一个新的免费后使用(UAF)漏洞,该漏洞在最新的VBScript引擎中仍未修补。“

某专家提出了类似的理论,该专家收集了将CVE-2018-8373漏斗利用与暗酒店联系起来的证据。

专家们发现,在最近的攻击中嵌入在Office文档中的域名与以前与朝鲜链接的APT组相关的攻击中的Double Kill漏洞利用代码相同。

APT小组利用VBScript引擎漏洞(CVE-2018-8373)对朝鲜某酒店进行攻击

“某情报中心首先通过大数据分析协会获得趋势科技编码后的IOC地址:

  1. http://windows-updater[.]net/realmuto/wood[.]php?who=1
CE安全网

发表评论

您必须登录才能发表评论!