Darkhotel APT组织使用微软VBScript引擎漏洞

360威胁情报中心近日通过大数据关联分析，能够确认由趋势科技科技发现微软VBScript引擎漏洞攻击与Darkhotel组织有关。360与该0day漏洞和2018年4月360首次发现Darkhotel组织利用影响IE浏览器并通过Office文档进行攻击的“双杀”漏洞进行对比，发现使用了多个相同的攻击技术，包括解密URL的代码和判断网络回来数据的合法性的地方。不同处为此次攻击中动态修改加载的DLL的上线URL和ID和ByPASS uac的方法在DLL里。360威胁情报中心还关联到一个新的DarkHotel使用的劫持Windows操作系统模块的后门mstfe.dll，并发现新的C2。从本次事件可以看出，该攻击团伙在近年中保持着相当高的活跃度，为了达成攻击目的甚至会不惜使用0day漏洞进行攻击。另一方面，以Office文档作为0day攻击载体依然是当前最为流行的攻击方式，而通过微软Office来利用第三方模块0day漏洞的攻击面已经成为黑客研究的热点。