Darkhotel hacker örgütünün "Ren Shang Ren" i hedef almak için VBScript boşluklarını kullanarak Kuzey Kore ile ilgili olduğundan şüpheleniliyor.
Leifeng.com'a göre, dünyada hava geçirmez bir duvar yok ve VBScript (Visual Basic betik dili) motorundaki bir güvenlik açığı bilgisayar korsanları tarafından istismar edildi. Bleepingcomputer tarafından 18 Ağustos'ta ABD saatinde yayınlanan bir rapora göre, hacker'ın amacı Darkhotel organizasyonu (APT-C-06) tarafından hedeflenen sisteme girmekti.
Window ve IE11'in en son sürümlerinin her ikisi de yerleşik VBScript motorlarına sahiptir. Bu güvenlik açığı ortaya çıktıktan sonra Microsoft, tarayıcısının varsayılan yapılandırmasında VBScript yürütme seçeneğini devre dışı bıraktı ve bu güvenlik açığını engelledi.
Bununla birlikte, bilgisayar korsanlarına karşı mücadele uzun süren bir savaştır ve komut dosyalarını yüklemenin başka yolları da vardır. Örneğin, Office paketindeki Web içeriğini yüklemek ve işlemek için IE motorunu kullanan uygulamalar.
Bu yılın Temmuz ayında, Microsoft'un düzenli Windows güncellemelerini yayınlamasının ertesi günü, Trend Micro'nun güvenlik uzmanları, VBScript'teki güvenlik açığından yararlanıldığını keşfettiler. CVE-2018-8373 adlı bu hata, bu ayki güncellemede çözüldü.Bu, bilgisayar korsanlarının güvenliği ihlal edilmiş bilgisayarlarda kabuk kodları çalıştırmasını kolaylaştırabilen, kullanımdan sonra bellek çökmesine neden olan bir hatadır.
Saldırı kodunu analiz ettikten sonra, araştırmacılar başka bir VBScript güvenlik açığı saldırısıyla aynı gizleme tekniğini kullandığını buldular. Bu güvenlik açığı (CVE-2018-8174) Mayıs güncellemesinde engellendi ve kodlandığı keşfedildi "Double Kill" güvenlik açığı araştırmacısı Qihoo 360'tan geliyor.
Bilgisayar korsanları, kabuk kodunu çalıştırmak için iki güvenlik açığı kullanır
Trend Micro'dan Elliot Cao, "Saldırı tekniklerinin benzerliği, araştırmacıların aynı hacker grubundan olduklarını hissettiriyor" dedi.
Qihoo 360'ın güvenlik araştırmacıları, bu çıkarımı yandan bazı ek parametrelerle kanıtladı. Blog gönderisinde, Trend Micronun CVE-2018-8373 analizinin şunu gösterdiğini belirttiler: Double Kill saldırı kodunu indirirken, Office belgesinde gömülü olan aynı alan adına başvuruyordu.
Double Kill'in etki alanı kötü amaçlı VBScript barındırıyor
Mayıs ayında, Qihoo 360 uzmanları da Double Kill'i analiz ettiler ve bunun Darkhotel organizasyonunun işi olduğunu doğruladılar, çünkü saldırıda kullanılan araçlar ve yöntemler tamamen Darkhotel tarzındaydı.
Qihoo 360 araştırma raporunda "Analiz sırasında, kötü amaçlı yazılımda kullanılan şifre çözme algoritmasının Darkhotel tarafından kullanılanla aynı olduğunu gördük." Ayrıca şunu da buldular Darkhotel, siber casusluk yapmak için Double Kill kullanıyor ve Çin ana hedeflerinden biri.
Kaspersky Lab Darkhotel'i 2014'te tanıttı ve 2007'de gizemli organizasyonun kokusunu aldılar. Güvenlik uzmanlarının gözünde bu, Asya'daki lüks otellerde yaşayan kurumsal yöneticileri ve devlet kuruluşu temsilcilerini hedefleyen uzun vadeli bir hackleme örgütüdür.
Darkhotel, saldırıları başlatmak için genellikle üst düzey ürünlerde sıfırıncı gün güvenlik açıklarını kullanıyor ve bunun son derece profesyonel bir kuruluş olduğunu ve arkasında iyi para olan bir sponsor olduğunu gösteriyor.
Darkhotel tamamen "insan ustaları" hakkındadır
Leifeng.com, McPhee ve Intezer arasında bu ayın başında yapılan ortak araştırmanın Darkhotel'in Kuzey Kore ile ayrılmaz bir şekilde bağlantılı olduğunu gösterdiğini öğrendi. Araştırmacılar bunu bir dizi Kuzey Kore destekli saldırı ile karşılaştırdılar ve 2009'dan 2017'ye kadar saldırı araçlarının aynı özel kodun çoğunu paylaştığını buldular. Bu amaçla, araştırmacılar ayrıca özel olarak bir kötü amaçlı yazılım aile haritası oluşturdu.
Araştırmacılar tarafından yapılan kötü amaçlı bir aile haritası
Araştırmacılar derin kazma yoluyla bir noktayı da doğruladı, yani Darkhotel'in o günlerde Sony Pictures'a zarar veren kötü şöhretli Dark Seoul kötü amaçlı yazılımıyla doğrudan bir bağlantısı var.
Leifeng.com Bleeping Bilgisayar Üzerinden
