Darkhotel APT組織又回來(lái)了，重返后的第一個(gè)目標(biāo)就是中國(guó)和朝鮮通信公司的高管們。

2014年11月，卡巴斯基實(shí)驗(yàn)室的安全專(zhuān)家首次發(fā)現(xiàn)了Darkhotel 間諜組織，并且發(fā)現(xiàn)該組織至少已經(jīng)活躍了4年的時(shí)間，目標(biāo)基本鎖定在企業(yè)高管。當(dāng)這些企業(yè)高管心情愉悅的在奢侈酒店享受時(shí)，他們的敏感數(shù)據(jù)已經(jīng)被黑客拿走。

當(dāng)下比較令人煩躁的問(wèn)題是，這個(gè)黑客組織還在繼續(xù)活躍。

Darkhotel APT組織簡(jiǎn)介

該組織攻擊者技術(shù)非常嫻熟，就像資深的外科醫(yī)生，只要是自己感興趣的數(shù)據(jù)就一定能拿到，而且還會(huì)刪除惡意行為的痕跡。研究員們還發(fā)現(xiàn)每個(gè)目標(biāo)他們只竊取一次，絕不重復(fù)。受害者頭銜一般為：CEO、高級(jí)副總裁、高級(jí)研發(fā)工程師、銷(xiāo)售總監(jiān)、市場(chǎng)總監(jiān)。

Darkhotel 組織慣用的手段是魚(yú)叉式釣魚(yú)郵件，里面包含一個(gè)惡意文檔附件，通常是精心偽造的SWF文件，并在word文檔中嵌入了下載鏈接。利用的漏洞是Adobe Flash漏洞( CVE-2015-8651)，但是該漏洞已在12月28日修復(fù)。攻擊者將惡意代碼偽裝進(jìn)OpenSSL庫(kù)的一個(gè)組件中，還在惡意軟件中加入了很多反檢測(cè)方法，比如反沙盒過(guò)濾和just-in-time 解密。

卡巴斯基實(shí)驗(yàn)室對(duì)Darkhotel 組織進(jìn)行了詳細(xì)的調(diào)查，發(fā)現(xiàn)他們2015年內(nèi)的目標(biāo)主要位于朝鮮、俄羅斯、韓國(guó)、日本、孟加拉國(guó)、泰國(guó)、印度、莫桑比克和德國(guó)。

從2010年開(kāi)始，Darkhotel APT就使用混淆HTML應(yīng)用(HTA)文件在受害者系統(tǒng)上植入后門(mén)和下載器代碼，去年8月份，安全專(zhuān)家們又發(fā)現(xiàn)了惡意HTA文件的新變種。

攻擊者們還提升了混淆技術(shù)，使用更高效的躲避方法，比如，攻擊者使用簽名的下載器檢測(cè)已知的殺毒方案。

Darkhotel APT過(guò)去使用的魚(yú)叉式釣魚(yú)郵件的附件是.rar壓縮文件，看似是一個(gè)無(wú)毒的.jpg文件。事實(shí)上，文件是有一個(gè)可執(zhí)行的.scr文件，利用了right-to-left override (RTLO)技巧。當(dāng)文件被打開(kāi)時(shí)，Paint應(yīng)用中會(huì)顯示一張圖片，與此同時(shí)，惡意代碼會(huì)默默的在后臺(tái)運(yùn)行。

另外一個(gè)比較有趣的地方是，Darkhotel 間諜組織會(huì)使用竊取的數(shù)字證書(shū)簽名他們的惡意軟件。并且他們的組織成員似乎是韓國(guó)人或者會(huì)說(shuō)韓語(yǔ)的人。