根据ThreatBook的威胁情报,APT组织DarkHotel正将中国和朝鲜的电信公司的高管作为目标。
Darkhotel组织的间谍活动最早是由卡巴斯基实验室的安全专家在2014年11月所发现。专家们发现DarkHotel组织选择出国旅行的企业高管为目标,持续了至少四年。根据专家分析,DarkHotel进行这些活动背后的目的可能是从这些住在豪华酒店的高管身上窃取敏感数据,令人担忧的是,该黑客组织的成员现在仍然活跃。
DarkHotel APT组织的攻击者有能力提前知晓攻击目标(企业高管)的酒店入住时间以及退房时间。并且研究人员注意到他们从不针对同一个目标进行两次行动,他们的目标包括来自于美国和亚洲,在亚太地区旅游的首席执行官,高级副总裁,高级研发工程师,销售和市场营销总监。
根据ThreatBook的报告,该黑客组织通过使用特制的高级鱼叉式网络钓鱼进行攻击。
鱼叉式网络钓鱼信息附带恶意文件,通常是一个精心设计的SWF文件,作为一个下载链接嵌入在一个Word文档中。
DarkHotel 的黑客利用了Adobe Flash的一个漏洞,漏洞编号为CVE-2015-8651,Adobe已经在12月28日发布了相应补丁。
攻击者的恶意代码组件伪装了OpenSSL库。专家们还注意到,侦测到的恶意软件还有一些相应措施,例如沙盒检测和即时解密。
DarkHotel恶意软件还有能力去分解一个克隆证书所生成的密钥,制造一个可信任的证书。而攻击者分解并利用弱密钥的示例已经不新鲜了,早在2011年Fox-IT,Microsoft,Mozilla和Entrust就已经发出过警告。
为了更好的理解DarkHotel组织,我们可以看一下卡巴斯基实验室在于2015年8月更新的报告。卡巴斯基证实,APT组织DarkHotel在2015年的目标包括朝鲜、俄罗斯、韩国、日本、孟加拉、泰国、印度、莫桑比克和德国。
DarkHotel使用的钓鱼邮件中利用的漏洞也包括Hacking Team泄露资料中的一部分利用代码。
“从7月份开始,它开始使用Hacking Team泄露资料中的Flash 0day。看起来DarkHotel是针对特定系统使用这些0day。我们可以从tisone360.com上识别一些这方面的活动”,卡巴斯基的博客中这样写道。
DarkHotel从2010年开始就很恰当的使用混淆HTML应用程序(HTML Application ,缩写为HTA)作为后门下载文件,而在8月,安全专家发现了新的变异水平的恶意HTA文件。
“这有点奇怪,因为HTML应用程序严重依赖于旧的Windows技术,这是微软在1999年介绍的技术”,专家这样说道。
黑客也使用了一些混淆技术作为逃避检测方法,在一个案例中,攻击者使用了已知的防病毒解决方案所信任的证书用于签名。
DarkHotel在过去进行的鱼叉式网络钓鱼所使用的邮件包含rar压缩文件,里面有一个看起来似乎无害的.jpg文件。而实际上,这是一个可执行的.scr文件,之所以看起来是.jpg,是因为它使用了Unicode编码的RTLO(right-to-left override).当文件打开时,表面上看起来是打开了一张jpg图片,实际上恶意代码已经在后台运行了。
DarkHotel进行的另一项间谍活动就是窃取合法的数字证书,然后将这些数字证书用于签名恶意软件。
而根据卡巴斯基的专家分析,DarkHotel组织可能是来自于韩国。
简单粗暴的安全建议
如果你是企业高管或关键人物,为了不让攻击者窃取到你的机密隐私信息,最简单的方法就是不要直接连接酒店的无线网络和任何其他不受信任的网络,尽量使用手机移动数据流量上网。