零日攻击中，Darkhotel APT使用了微软的VBScript引擎

VBScript引擎中的漏洞已经被朝鲜工作的黑客利用来破坏Darkhotel操作所针对的系统。

VBScript可在最新版本的Windows和Internet Explorer 11中使用。但是，在Windows的最新版本中，Microsoft 在其浏览器的默认配置中禁用了VBScript的执行，使其免受漏洞攻击。

但是，还有其他方法可以加载脚本。例如，Office套件中的应用程序依赖IE引擎来加载和呈现Web内容。

Trend Micro科技的安全研究人员注意到，微软在7月份发布Windows定期更新后的一天内，VBScript漏洞正在被利用。现在跟踪为CVE-2018-8373，该错误已在本月的补丁交付中得到解决。这是一种免费使用后的内存损坏，允许攻击者在受感染的计算机上运行shellcode。

在分析了漏洞利用代码之后，研究人员发现它共享了漏洞利用的混淆技术，这个漏洞技术也用于外界使用的旧版VBScript漏洞，并在5月份修补了CVE-2018-8174。中国安全公司奇虎360的专家也报道了这个漏洞，也被称为Double Kill。

趋势科技安全研究的Elliot Cao表示，共同点使他们认为这些漏洞可能具有相同的起源。

来自奇虎360的研究人员提供了支持这一理论的其他论据在。今天发表的博客文章中，他们指出Trend Mirco科技对CVE-2018-8373的分析引用了Office文档中嵌入的相同域名来下载Double Kill漏洞利用代码。

早在5月，奇虎360专家就分析了Double Kill，并证实了它与Darkhotel集团（APT-C-06）的联系。他们的公司归属依赖于他们已经知道的威胁行为者使用的工具和方法。

“在分析过程中，我们发现使用的恶意软件的解密算法与APT-C-06的解密算法完全相同，”他们当时写道，并补充说它运行了网络间谍活动，中国是其主要目标之一。

卡巴斯基实验室于2014年推出了Darkhotel，并于2007年开始追踪其活动。专家们将其描述为长期运营，针对入住亚洲豪华酒店的企业高管和政府机构代表。

在着名产品中使用零日漏洞表明，Darkhotel是一个非常专业的团体，或者得到了强大赞助商的支持。

一个来自McAfee和Intezer的联合研究本月初明确表示，Darkhotel与朝鲜（朝鲜人民民主共和国）的关系。联合行动分析了与朝鲜有关的各种活动中的恶意软件。检查2009年至2017年间使用的工具共享的唯一代码，研究人员创建了一个连接恶意软件系列的地图。

根据这项研究，Darkhotel与Dark Seoul恶意软件直接相关，该恶意软件与Operation Blockbuster捆绑在一起 - 索尼影视公司将FBI明确归咎于朝鲜认可的黑客。