VBScript доступен в последних версиях Windows и Internet Explorer 11. Однако Microsoft отключил исполнение VBScript в последней версии Windows в конфигурации браузера по умолчанию, чтобы исправить уязвимость. Но существуют и другие способы загрузки скриптов. Например, приложения в комплексе Office полагаются на движок IE для загрузки и рендеринга веб-контента.
После того, как Microsoft выпустила стандартное обновление Windows в июле, исследователи из Trend Micro заметили, что уязвимость в VBScript была использована. Эта уязвимость с номером CVE-2018-8373 была адресована в исправлении патча в этом месяце. Она освобождает память после запуска и позволяет злоумышленникам запускать shellcode на зараженном компьютере.
Проанализировав код эксплойта, исследователи обнаружили, что она использовала тот же метод обфускации, что и использовала старая уязвимость с номером CVE-2018-8174 в VBScript, которая была исправлена в мае. Старая уязвимость называется «Double Kill», о которой сообщал Qihoo 360. Исследователи из Qihoo 360 отметили, что анализ из Trend Micro на CVE-2018-8373 ссылался на одно и то же имя домена, встроенное в документы Office, для загрузки кода эксплойта «Double Kill».
В мае исследователи из Qihoo 360 проанализировали «Double Kill» и подтвердили связь между им и группой Darkhotel (APT-C-06). Исследователи извлекли этот вывод по инструментам и методам, которые использовала группа Darkhotel. Они считали, что алгоритм дешифрования, используемый «Double Kill», похож на APT-C-06, а Китай является одной из его основных целей.
«Лаборатория Касперского» нашла Darkhotel в 2014 году и с 2007 года начала отслеживать ее деятельность. Эксперты считают, что эта группа долгосрочно ориентирована на руководителей компаний и представителей правительственных организаций, которые остаются в азиатских роскошных отелях.
Событие использования уязвимости Zero-day в известных продуктах доказывает, что Darkhotel является очень специализированной группой или у нее есть сильная финансовая поддержка.
В начале этого месяца McAfee и Intezer заявили, что между Darkhotel и Северной Кореей есть прочную связь. Они проанализировали вредоносное ПО, используемое в многих атаках, связанных с Северной Кореей. После анализавания кода, используемого между 2008 и 2017 годами, исследователи связали эти семейства вредоносных программ вместе.
Исследование показывает, что Darkhotel прямо связан с вредоносным ПО Dark Seoul, которое имеет прочную связь с «Operation Blockbuster» (то есть Sony Pictures, который, как ФБР считает, запущено Северной Кореей).