卡巴斯基實(shí)驗(yàn)室發(fā)現(xiàn)“黑暗酒店”網(wǎng)絡(luò)間諜組織從七月初開(kāi)始，也就是Hacking Team文件在7月5日泄露后不久，就使用HackingTeam泄露的零日漏洞進(jìn)行攻擊。盡管從去年開(kāi)始，這一攻擊組織就想盡辦法增強(qiáng)其防御措施。例如，擴(kuò)展其反檢測(cè)技術(shù)列表。2015年版本的“黑暗酒店”下載器能夠識(shí)別來(lái)自27家安全廠商的反病毒技術(shù)，并試圖繞過(guò)這些安全產(chǎn)品的檢測(cè)。卡巴斯基實(shí)驗(yàn)室針對(duì)個(gè)人與企業(yè)用戶(hù)的產(chǎn)品能夠成功檢測(cè)和攔截“黑暗酒店”惡意組件，并已將其檢測(cè)為T(mén)rojan.Win32.Darkhotel and Trojan-Dropper.Win32.Dapato。

據(jù)了解，Hacking Team是一家向某些政府和執(zhí)法機(jī)關(guān)銷(xiāo)售“合法間諜軟件”的企業(yè)。Hacking Team公司的文件發(fā)生泄露后，一些網(wǎng)絡(luò)間諜組織已經(jīng)開(kāi)始使用這些泄露的文件實(shí)施惡意攻擊，而這些文件原本就是Hacking Team提供給客戶(hù)用以發(fā)動(dòng)攻擊使用的。泄露的文件中包括多個(gè)針對(duì)AdobeFlash Player和Windows操作系統(tǒng)的漏洞利用程序。其中至少有一個(gè)漏洞利用程序已經(jīng)被強(qiáng)大的網(wǎng)絡(luò)攻擊組織“黑暗酒店”用以執(zhí)行其它目的。

卡巴斯基實(shí)驗(yàn)室安全專(zhuān)家于2014年便發(fā)現(xiàn)了一個(gè)名為“黑暗酒店”的精英間諜攻擊組織，該組織會(huì)通過(guò)入侵豪華酒店的Wi-Fi網(wǎng)絡(luò)，攻擊企業(yè)高管，竊取資料。而且Darkhotel并不是Hacking Team公司的客戶(hù)，所以“黑暗酒店”應(yīng)該是在這些文件被公開(kāi)之后獲取到的。

此外，這并不是該攻擊組織所使用的唯一的零日漏洞?？ò退够鶎?shí)驗(yàn)室估計(jì)在過(guò)去幾年中，該攻擊組織使用的針對(duì)AdobeFlash Player的零日漏洞至少有六個(gè)之多。顯而易見(jiàn)，“黑暗酒店”在壯大其攻擊能力方面投入巨大。2015年，“黑暗酒店”繼續(xù)在全球范圍內(nèi)擴(kuò)展其影響，并且還在朝鮮、韓國(guó)、俄羅斯、日本、孟加拉、泰國(guó)、印度、莫桑比克和德國(guó)對(duì)目標(biāo)繼續(xù)進(jìn)行魚(yú)叉式釣魚(yú)攻擊。

作為一個(gè)活躍了近八年時(shí)間的知名的APT（高級(jí)可持續(xù)性威脅）攻擊組織，“黑暗酒店”在近期采用了新的攻擊手段，并且有新的動(dòng)向?？ò退够鶎?shí)驗(yàn)室的調(diào)查發(fā)現(xiàn)，在2014年以及更早的攻擊中，“黑暗酒店”攻擊組織使用竊取到的證書(shū)以及不尋常的攻擊手段（例如入侵酒店的Wi-Fi網(wǎng)絡(luò)）在受攻擊者的系統(tǒng)上植入間諜工具。2015年，該攻擊組織仍然在使用這些攻擊技巧和行動(dòng)。但是，卡巴斯基實(shí)驗(yàn)室還發(fā)現(xiàn)了一種新的惡意可執(zhí)行文件變種、更多的被盜數(shù)字證書(shū)以及社交工程技巧，同時(shí)該組織還部署了來(lái)自Hacking Team的零日漏洞：

繼續(xù)使用被盜數(shù)字證書(shū)：“黑暗酒店”攻擊組織似乎儲(chǔ)備有大量被盜證書(shū)，并使用這些證書(shū)對(duì)其下載器和后門(mén)程序進(jìn)行數(shù)字簽名，欺騙被攻擊系統(tǒng)。其中包括一些最近被廢除的證書(shū)，例如XuchangHongguang Technology Co. Ltd公司的數(shù)字證書(shū)。而早在之前的攻擊中，“黑暗酒店”就使用過(guò)這家公司的數(shù)字證書(shū)。

不懈的魚(yú)叉式釣魚(yú)攻擊：“黑暗酒店”攻擊非常執(zhí)著和持久。攻擊者會(huì)試圖利用魚(yú)叉式釣魚(yú)攻擊感染目標(biāo)。如果當(dāng)時(shí)不成功，攻擊者會(huì)過(guò)幾個(gè)月后再次嘗試，并且使用幾乎一樣的社交工程技巧進(jìn)行攻擊。

部署Hacking Team的零日漏洞利用程序：受感染網(wǎng)站tisone360.com包含一系列后門(mén)程序和漏洞利用程序。而這些漏洞利用程序來(lái)自Hacking Team的Flash零日漏洞。

對(duì)于此次重大發(fā)現(xiàn)，卡巴斯基實(shí)驗(yàn)室首席安全研究員KurtBaumgartner表示：“‘黑暗酒店’再度來(lái)襲，并且又使用了一種新的Adobe Flash Player漏洞利用程序，將其置于一個(gè)被感染的網(wǎng)站上。不僅如此，這次他們所使用的漏洞利用程序似乎來(lái)自Hacking Team所泄露的零日漏洞。該攻擊組織曾經(jīng)在同樣的網(wǎng)站上，使用過(guò)另一種不同的Flash漏洞利用程序，我們?cè)?014年1月將其上報(bào)為一種Adobe零日漏洞。‘黑暗酒店’在過(guò)去幾年中，使用了多種Flash零日漏洞和半日漏洞。所以，該攻擊組織可能儲(chǔ)備了很多漏洞，用于針對(duì)高級(jí)別的目標(biāo)進(jìn)行全球范圍內(nèi)的精準(zhǔn)攻擊。根據(jù)以往的攻擊，我們知道‘黑暗酒店’主要攻擊企業(yè)CEO、高級(jí)副總裁、銷(xiāo)售和市場(chǎng)總監(jiān)以及高級(jí)研發(fā)人員。”