“DarkHotel黑暗酒店”APT利用新方法攻击各类政治目标
更多全球网络安全资讯尽在E安全官网www.easyaq.com
E安全7月21日讯 罗马尼亚安全企业Bitdefender公司本周发布报告称,“黑暗酒店(DarkHotel)”网络高级持续威胁组织一直在针对朝鲜政府的雇员发动新型攻击。
DarkHotel针对的目标范围广泛
2014年11月,卡巴斯基公司曾发布一份报告,其中详细介绍了黑暗酒店高级持续威胁(简称APT)组织如何针对亚太地区的商旅人士施以相当复杂的网络间谍攻击。而该组织已经存在近十年之久,且部分研究人员认为其成员主要来自韩国。
攻击者们利用多种方法窥探受害者的秘密,具体包括使用酒店Wi-Fi、零日漏洞以及点对点(即P2P)文件共享网站等等。在近一年之后,安全行业又观察到该组织利用新型技术与一项泄露自意大利间谍软件开发集团Hacking Team的安全漏洞。
黑暗酒店(DarkHotel)的受害者遍布各个国家与地区,具体包括朝鲜、俄罗斯、韩国、日本、孟加拉国、泰国、中国(含中国台湾省)、美国、印度、莫桑比克、印度尼西亚以及德国等等。直到不久之前,该组织还一直在对国防工业 、军事、能源、政府、非政府组织、电子制造、制药以及医疗等行业的企业高管、研究人员及开发人员施以入侵。
指向政治人物的钓鱼攻击过程
根据Bitdefender公司方面表示,黑暗酒店(DarkHotel)近期的攻击活动被命名为“Inexsmar”,且开始利用一些新型方法指向政治人物。
Bitdefender公司的分析基于采集自2016年9月的样本。黑暗酒店(DarkHotel)方面通过网络钓鱼邮件发送初始木马下载程序,用以收集受感染设备上的信息并将结果发送回命令与控制(简称C&C)服务器。如果目标系统满足其要求,即持有者属于值得关注的对象,则向其中发布被伪装为OpenSSL组件的黑暗酒店恶意下载程序。
与此同时,为了避免引起怀疑,该恶意软件还会打开一份名为“Pyongyang e-mail lists - September 2016(平壤邮件列表-2016年9月)”的文件,其中提供了朝鲜首都各组织机构的联系人邮件清单。
如果系统配置信息与攻击者的关注方向并不一致,则C&C服务器会返回一条“失败”字符串并停止攻击。如果攻击继续,则检索第二项有效载荷(Payload)。
在对恶意软件样本进行分析时,Bitdefender公司发现该C&C服务器处于离线状态,意味着其无法借此了解受害者身份以及此项攻击造成的危害。然而,Bitdefender公司的伯格丹·伯特扎图在接受采访时解释称,根据其网络钓鱼信息的结构,黑暗酒店(DarkHotel)指向的目标很可能属于政府或者国家机构工作人员,且其明显对朝鲜政治局势很感兴趣。
专家们认为,相较于直接利用安全漏洞,使用社交工程与多段式下载程序效果显然更好——因为这意味着攻击者将能够在恶意软件发布层面拥有更好的灵活性,同时确保木马始终处于最新状态。
E安全推荐文章
官网:www.easyaq.com
2017年7月