1月14日下午消息，國內安全威脅情報創業公司微步在線今日對外宣傳，2015年圣誕前夕，Adobe公司旗下Flash播放器的修復漏洞被黑客利用。目前，名為DarkHotel的國際黑客組織，從2015年12月24日開始一直持續到現在，始終持續在攻擊中國、俄羅斯和朝鮮。

微步在線還表示，部分樣本已經可以被少部分安全廠商查殺，但依然有一些樣本至今不能被檢出。

以下為微步在線報告全文：

源起：

2015年圣誕節前夕，Adobe公司宣布修復旗下Flash播放器的多個漏洞進行了修復。但該事件卻沒有隨著漏洞的修復而結束。經調查，其中一個漏洞已經被他人“利用”過。這個漏洞編號為：CVE-2015-8651。

　　Adobe安全響應中心公告

Adobe官方安全公告中，值得注意的是：該漏洞已經被用于針對性的定向攻擊。

威脅情報中的猛料：

微步在線借助廣泛的數據和威脅來源，監控到了攻擊者所使用的工具：一個word文檔。攻擊模式為：此word文檔內附帶一個鏈接，該鏈接指向一段Flash視頻，在攻擊目標觀看視頻時，攻擊者利用Flash播放器漏洞自動向電腦里植入木馬。

從文檔內容可以看出，黑客對攻擊對象非常熟悉，文檔的內容和邏輯也合情合理，很容易讓攻擊對象做出打開文末鏈接的舉動。然而不幸的是，一旦文中的鏈接被點開，就相當于落入了黑客的圈套。

本次事件的鎖定對象并非一般個人，而是特定的公司或組織成員。因此，受竊信息也并非一般網絡釣魚所竊取的個人資料，而是具有高度敏感性的資料，如智慧財產權及商業機密等。這種攻擊模式就是所謂的魚叉式網絡釣魚攻擊。

通過對木馬樣本進行分析，可以發現此次攻擊手段有如下高深之處：

此木馬會對電腦上的所有殺毒軟件做詳盡排查。從逆向生成的代碼分析，此木馬內含有一份包括國內外近百個主流殺毒軟件的名單。如果檢測到了名單上的任何一個殺毒軟件，木馬都會選擇蟄伏，不會主動進行攻擊。

此木馬會對運行環境進行“沙箱測試”。所謂沙箱，就是安全軟件在面對可疑文件時，為了辨別文件是否含有木馬病毒，而模擬出一個對可疑文件進行隔離測試的運行環境。該木馬一旦發現自己運行在沙箱之中，就不會再進行任何攻擊動作。

此木馬的攻擊行為調用了微軟1999年引入的一個極其冷門的HTA格式文件。從這一點上可以看出，木馬的制作者對于微軟系統做過非常深入的分析。

團伙已被鎖定，攻擊仍在持續：

通過對這個樣本文件的關聯分析，鎖定到該團伙正是在亞洲活躍了九年的著名境外黑客組織。這個組織曾被卡巴斯基的研究員命名為DarkHotel(暗黑客棧)。可以基本確定，該組織最遲從2007年開始逐漸活躍，采用多種老練的手段以及行人追蹤技術引誘受害者上鉤。他們進攻的主要目標都集中在亞洲，而且以中國為主，并零星分布在日本、韓國和東南亞。此次DarkHotel發起的威脅攻擊從2015年12月24日開始一直持續到現在，被攻擊的國家和地區包括：中國、俄羅斯和朝鮮。

雖然國內安全公司已發布了通告，Adobe也發布了安全補丁，但通過微步在線的最新威脅情報表明，2016年1月4日又有中國企業被攻陷。說明了這種手法極其隱秘，并且充分利用了人性的特點。僅從本次攻擊來看，他們的目標非常明確——中國企業。通過對比以往的資料可以看出，他們有可能一直在攻擊中國企業，并且截止到1月13日，部分樣本已經可以被少部分安全廠商查殺，但依然有一些樣本至今不能被檢出。

從背景上分析，雖然歷次攻擊都是針對商業公司，但本次攻擊中所采用的Flash播放器0day漏洞在市場上的價格大約為20-60萬人民幣。如果這個漏洞是DarkHotel自己挖掘的，那么他們需要有相當強的技術實力。如果這個漏洞是他們購買得來的，則需要雄厚的資金實力。微步在線的安全分析師判斷，想要做到DarkHotel的成績，至少需要數百萬的資金投入。

情報驅動，馬上行動：

針對本次事件的特殊性，微步在線已經第一時間向公司客戶及國內安全企業分享了本次事件相關信息。現階段，面對越來越高級別的攻擊行為，國內企業不僅需要做好基礎防護，更需要做到快速發現威脅和迅速響應，才能防患于未然。未來我們中國的企業是否能做的更好？