Darkhotel APT組織又回來了,重返后的第一個目標就是中國和朝鮮通信公司的高管們。
2014年11月,卡巴斯基實驗室的安全專家首次發現了Darkhotel 間諜組織,并且發現該組織至少已經活躍了4年的時間,目標基本鎖定在企業高管。當這些企業高管心情愉悅的在奢侈酒店享受時,他們的敏感數據已經被黑客拿走。
當下比較令人煩躁的問題是,這個黑客組織還在繼續活躍。
Darkhotel APT組織簡介
該組織攻擊者技術非常嫻熟,就像資深的外科醫生,只要是自己感興趣的數據就一定能拿到,而且還會刪除惡意行為的痕跡。研究員們還發現每個目標他們只竊取一次,絕不重復。受害者頭銜一般為:CEO、高級副總裁、高級研發工程師、銷售總監、市場總監。
Darkhotel 組織慣用的手段是魚叉式釣魚郵件,里面包含一個惡意文檔附件,通常是精心偽造的SWF文件,并在word文檔中嵌入了下載鏈接。利用的漏洞是Adobe Flash漏洞( CVE-2015-8651),但是該漏洞已在12月28日修復。攻擊者將惡意代碼偽裝進OpenSSL庫的一個組件中,還在惡意軟件中加入了很多反檢測方法,比如反沙盒過濾和just-in-time 解密。
卡巴斯基實驗室對Darkhotel 組織進行了詳細的調查,發現他們2015年內的目標主要位于朝鮮、俄羅斯、韓國、日本、孟加拉國、泰國、印度、莫桑比克和德國。
從2010年開始,Darkhotel APT就使用混淆HTML應用(HTA)文件在受害者系統上植入后門和下載器代碼,去年8月份,安全專家們又發現了惡意HTA文件的新變種。
攻擊者們還提升了混淆技術,使用更高效的躲避方法,比如,攻擊者使用簽名的下載器檢測已知的殺毒方案。
Darkhotel APT過去使用的魚叉式釣魚郵件的附件是.rar壓縮文件,看似是一個無毒的.jpg文件。事實上,文件是有一個可執行的.scr文件,利用了right-to-left override (RTLO)技巧。當文件被打開時,Paint應用中會顯示一張圖片,與此同時,惡意代碼會默默的在后臺運行。
另外一個比較有趣的地方是,Darkhotel 間諜組織會使用竊取的數字證書簽名他們的惡意軟件。并且他們的組織成員似乎是韓國人或者會說韓語的人。
京公網安備 11010502049343號