포스팅 내용

국내외 보안동향

MS VBScript 엔진 중의 제로데이 취약점, Darkhotel APT에 악용돼

최근 VBScript 엔진 내의 취약점이 Darkhotel APT에 악용되었습니다. 


VBScript는 Windows와 IE11의 최신 버전에서 사용 가능합니다.하지만 최신 버전의 윈도우의 브라우저 기본설정에서는 VBScript가 비활성화 되어있는데, 이는 취약점이 악용되는것을 막기 위한것입니다. 


MS는 7월 정기 보안업데이트 하루 이후에 VBScript 취약점이 악용되고 있다는 사실을 확인하였습니다. 이 취약은 CVE-2018-8373으로, 8월 정기 보안업데이트때 패치가 되었습니다. 


해당 취약점은 메모리 손상 취약점으로, 공격자가 취약점이 존재하는 PC에서 shellcode를 실행시킬 수 있도록 허용합니다. 


코드분석결과, 5월에 패치되었던 오래된 VBScript취약점인 CVE-2018-8174가 사용한 난독화 기술과 동일했습니다. 이 오래된 취약점은 Double Kill이라 명명되었으며, 중국의 Qihoo 360이 발견하였습니다. 


<이미지 출처 : https://www.bleepingcomputer.com/news/security/zero-day-in-microsofts-vbscript-engine-used-by-darkhotel-apt/>


보안연구원들은 CVE-2018-8373취약점 분석결과 office 문서중 동일한 도메인이 삽입되어 있었고, Double Kill이 사용한 코드를 다운로드한다고 밝혔습니다. 


<이미지 출처 : https://www.bleepingcomputer.com/news/security/zero-day-in-microsofts-vbscript-engine-used-by-darkhotel-apt/>


지난 5월, Qihoo 36- 보안연구원은 Double Kill 분석결과 이 취약점이 Darkhotel 조직과 연관이 있다고 밝혔습니다. Double Kill의 복호화 알고리즘과 유사하기 때문입니다. 


카스퍼스키는 2014년 최초로 Darkhotel 조직을 공개하였습니다. 이 조직은 2007년부터 활동을 시작하였으며, 오랜시간동안 아시아 고급 호텔에 투숙하는 기업의 고위간부 및 정부기관 대표들을 타겟으로 공격을 진행해 왔습니다. 


올해 초, 맥아피와 Intezer은 Darkhotel과 북한이 밀접한 관계가 있다고 밝히기도 했습니다.


Darkhotel은 Dark seoul악성코드와 직접적인 관련이 있으며, 이 악성코드는 Blockbuster operation과도 관련이 있습니다. 





출처 :

https://www.bleepingcomputer.com/news/security/zero-day-in-microsofts-vbscript-engine-used-by-darkhotel-apt/

티스토리 방명록 작성
name password homepage