Darkhotel APT強勢回歸:第一個目標鎖定中國電信

責任編輯:editor005

作者:簡單

2016-03-07 14:23:20

摘自:FreeBuf

2014年11月,卡巴斯基實驗室的安全專家首次發(fā)現(xiàn)了Darkhotel 間諜組織,并且發(fā)現(xiàn)該組織至少已經活躍了4年的時間,目標基本鎖定在企業(yè)高管。

Darkhotel APT組織又回來了,重返后的第一個目標就是中國和朝鮮通信公司的高管們。

2014年11月,卡巴斯基實驗室的安全專家首次發(fā)現(xiàn)了Darkhotel 間諜組織,并且發(fā)現(xiàn)該組織至少已經活躍了4年的時間,目標基本鎖定在企業(yè)高管。當這些企業(yè)高管心情愉悅的在奢侈酒店享受時,他們的敏感數(shù)據(jù)已經被黑客拿走。

當下比較令人煩躁的問題是,這個黑客組織還在繼續(xù)活躍。

Darkhotel APT組織簡介

該組織攻擊者技術非常嫻熟,就像資深的外科醫(yī)生,只要是自己感興趣的數(shù)據(jù)就一定能拿到,而且還會刪除惡意行為的痕跡。研究員們還發(fā)現(xiàn)每個目標他們只竊取一次,絕不重復。受害者頭銜一般為:CEO、高級副總裁、高級研發(fā)工程師、銷售總監(jiān)、市場總監(jiān)。

Darkhotel 組織慣用的手段是魚叉式釣魚郵件,里面包含一個惡意文檔附件,通常是精心偽造的SWF文件,并在word文檔中嵌入了下載鏈接。利用的漏洞是Adobe Flash漏洞( CVE-2015-8651),但是該漏洞已在12月28日修復。攻擊者將惡意代碼偽裝進OpenSSL庫的一個組件中,還在惡意軟件中加入了很多反檢測方法,比如反沙盒過濾和just-in-time 解密。

卡巴斯基實驗室對Darkhotel 組織進行了詳細的調查,發(fā)現(xiàn)他們2015年內的目標主要位于朝鮮、俄羅斯、韓國、日本、孟加拉國、泰國、印度、莫桑比克和德國。

從2010年開始,Darkhotel APT就使用混淆HTML應用(HTA)文件在受害者系統(tǒng)上植入后門和下載器代碼,去年8月份,安全專家們又發(fā)現(xiàn)了惡意HTA文件的新變種。

Darkhotel APT強勢回歸:第一個目標鎖定中國電信

攻擊者們還提升了混淆技術,使用更高效的躲避方法,比如,攻擊者使用簽名的下載器檢測已知的殺毒方案。

Darkhotel APT過去使用的魚叉式釣魚郵件的附件是.rar壓縮文件,看似是一個無毒的.jpg文件。事實上,文件是有一個可執(zhí)行的.scr文件,利用了right-to-left override (RTLO)技巧。當文件被打開時,Paint應用中會顯示一張圖片,與此同時,惡意代碼會默默的在后臺運行。

另外一個比較有趣的地方是,Darkhotel 間諜組織會使用竊取的數(shù)字證書簽名他們的惡意軟件。并且他們的組織成員似乎是韓國人或者會說韓語的人。

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號