卡巴斯基今年5月發現一起針對南韓企業的攻擊行動,早已開採了兩個微軟在5月之後才修補的安全漏洞,包括8月公開位於IE 11的CVE-2020-1380,以及6月公布位於Windows kernel中的CVE-2020-0986,據信是由Darkhotel APT駭客集團所為,Darkhotel APT名稱的由來,是因為該集團長年來滲透數千家大飯店,以入侵房客任職公司。情境示意圖,Photo by Tony Yakovlenko on unsplash

微軟在本周二(8/11)修補了120個漏洞,其中有一個零時差漏洞CVE-2020-1380是由資安業者卡巴斯基(Kaspersky)所揭露,在微軟修補該漏洞的隔天,卡巴斯基便詳述了發現漏洞的過程,宣稱駭客利用該漏洞並串連其它漏洞來攻擊一家南韓企業。

卡巴斯基將此一在今年5月發現的攻擊行動命名為Operation PowerFall,而且相信是由Darkhotel APT駭客集團所為。Operation PowerFall總計開採了兩個微軟的安全漏洞,先是以藏匿在IE 11上的CVE-2020-1380漏洞作為滲透Windows 10的媒介,再藉由Windows kernel中的CVE-2020-0986漏洞擴張權限以在系統上執行任意程式。

CVE-2020-1380是個記憶體損毀漏洞,肇因於腳本引擎處理IE記憶體中物件的方式,成功的攻擊將允許駭客取得與使用者相同的權限並接管系統,至於CVE-2020-0986則是個權限擴張漏洞,成功的開採則可於核心模式執行任意程式。

其實趨勢科技旗下的Zero Day Initiative(ZDI)在去年12月,就發現並向微軟提報了CVE-2020-0986漏洞,但當時微軟認為這是個不太可能被開採的漏洞而遲遲未修補,使得ZDI在今年的5月19日公布了漏洞細節,隔天,卡巴斯基便發現了利用CVE-2020-0986與CVE-2020-1380的攻擊行動。

當卡巴斯基分析了Operation PowerFall行動,並於6月8日知會微軟時,微軟已著手修補CVE-2020-0986,且在6月9日的Patch Tuesday釋出,因而微軟當時並未將CVE-2020-0986列為零時差攻擊行動。

另一個值得觀察的是Darkhotel APT駭客集團,Darkhotel APT名稱的由來是因為該集團專門滲透各大飯店,從2008年以來便開始於飯店系統中植入間諜程式,在數千家受到感染的飯店中,有9成位於日本、台灣、中國、俄羅斯及南韓,同時鎖定了入住這些飯店的高階主管,受害者遍布不同的產業,從電子製造、創投、醫療、化妝品與化學製造、汽車製造、自動組裝、國防、執法及軍事服務到非政府組織等。

目前卡巴斯基僅說Darkhotel APT是個擁有豐沛資源與先進開採技術,同時具備大型與動態基礎設施的駭客集團,並未公布它的來歷。

熱門新聞


Advertisement