查看原文
其他

APT 28借NSA工具攻击欧洲中东酒店

代码卫士 2022-04-06


作者:Catalin Cimpanu

翻译:360代码卫士团队



前言



这厢,美国政府在耗费数百万美元开发出各种黑客工具后;那厢,俄罗斯黑客组织就利用它们攻击位于欧洲和中东的酒店。


美国网络安全企业火眼公司发布报告称,著名的俄罗斯网络监控组织APT28已利用“永恒之蓝”实施攻击。


APT 28利用鱼叉式钓鱼活动攻击酒店



APT 28 也被称为”Fancy Bear”、 “Sofacy”、 “Sednit” 、 “Tsar Team”、 “Pawn Storm” 或 “Srontium”)在网络安全圈可谓臭名昭著,曾被指攻击美国民主党国名委员会、北约和德国联邦议院。很多人认为它跟俄罗斯军事情报服务机构格鲁乌有关联。


研究人员指出,APT28 利用鱼叉式钓鱼攻击将虚假的酒店预定条目作为Word文档传播到酒店和酒店业的其它实体。允许文档执行内置宏的目标计算机遭受APT28工具GAMEFISH恶意软件的感染。


利用“永恒之蓝”和Responder将恶意软件传播到本地网络



黑客随后会使用这款恶意软件下载并运行“永恒之蓝”和开源的Responder工具。这两种工具均有利于黑客攻击其它本地酒店IT系统。“永恒之蓝”能让黑客通过不安全的SMB服务传播,而Responder利用NetBIOS命名服务 (NBT-NS) 投毒来实现同样目的。


火眼在一份名为《APT28攻击酒店行业 威胁旅客安全》的报告(https://www.fireeye.com/blog/threat-research/2017/08/apt28-targets-hospitality-sector.html)中指出,“APT28利用这种方法窃取用户名和哈希密码,从而在受害者网络升级权限”。


酒店WiFi网络成国家黑客眼中的“香饽饽”



安全专家表示,黑客尤其对控制酒店的guestWiFi网络感兴趣。其背后的原因就是黑客能利用酒店的WiFi网络实施中间人攻击,从而推送恶意软件或拦截目标guest的流量。


这是APT28首次使用“永恒之蓝”发动攻击,但并非APT28首次针对酒店发动的攻击。2016年也发生了类似事件。受害者在连接到一个酒店WiFi网络后遭攻陷。距受害者首次连接到公共WiFi网络的12小时后,APT 28通过被盗凭证登录到机器。这12个小时可用于在脱机状态下破解哈希密码。成功访问机器后,攻击者将工具部署到机器上,随后通过受害者网络进行传播,并访问受害者的OWA账户。登录源自同一子网的计算机上,说明攻击者的机器物理接近受害者并位于相同的WiFi网络。我们无法证实首个凭证是如何在2016年的事件中被盗的,但在入侵过程中Responder得到部署。由于Responder工具能让攻击者从网络流量中嗅探密码,因此被盗凭证可能是Responder通过酒店WiFi网络获取的。


APT 28并非首个针对WiFi网络的网络监控组织。DarkHotel组织才是首个执行此类攻击的组织,这一点从该组织的命名就可看出。DarkHotel在2011年至2016年一直实施此类攻击。另外,Duqu组织在2015年利用相同技术监控参加伊朗核谈判交易的在酒店住宿的参加人员。



本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。



360代码卫士    长按二维码关注我们!

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存