Darkhotel APT强势回归:第一个目标锁定中国电信

安全
2014年11月,卡巴斯基实验室的安全专家首次发现了Darkhotel 间谍组织,并且发现该组织至少已经活跃了4年的时间,目标基本锁定在企业高管。当这些企业高管心情愉悦的在奢侈酒店享受时,他们的敏感数据已经被黑客拿走。

Darkhotel APT组织又回来了,重返后的第一个目标就是中国和朝鲜通信公司的高管们。

2014年11月,卡巴斯基实验室的安全专家首次发现了Darkhotel 间谍组织,并且发现该组织至少已经活跃了4年的时间,目标基本锁定在企业高管。当这些企业高管心情愉悦的在奢侈酒店享受时,他们的敏感数据已经被黑客拿走。

当下比较令人烦躁的问题是,这个黑客组织还在继续活跃。

Darkhotel APT组织简介

该组织攻击者技术非常娴熟,就像资深的外科医生,只要是自己感兴趣的数据就一定能拿到,而且还会删除恶意行为的痕迹。研究员们还发现每个目标他们只窃取一次,绝不重复。受害者头衔一般为:CEO、高级副总裁、高级研发工程师、销售总监、市场总监。

Darkhotel 组织惯用的手段是鱼叉式钓鱼邮件,里面包含一个恶意文档附件,通常是精心伪造的SWF文件,并在word文档中嵌入了下载链接。利用的漏洞是Adobe Flash漏洞( CVE-2015-8651),但是该漏洞已在12月28日修复。攻击者将恶意代码伪装进OpenSSL库的一个组件中,还在恶意软件中加入了很多反检测方法,比如反沙盒过滤和just-in-time 解密。

卡巴斯基实验室对Darkhotel 组织进行了详细的调查,发现他们2015年内的目标主要位于朝鲜、俄罗斯、韩国、日本、孟加拉国、泰国、印度、莫桑比克和德国。

从2010年开始,Darkhotel APT就使用混淆HTML应用(HTA)文件在受害者系统上植入后门和下载器代码,去年8月份,安全专家们又发现了恶意HTA文件的新变种。

Darkhotel APT强势回归:第一个目标锁定中国电信

攻击者们还提升了混淆技术,使用更高效的躲避方法,比如,攻击者使用签名的下载器检测已知的杀毒方案。

Darkhotel APT过去使用的鱼叉式钓鱼邮件的附件是.rar压缩文件,看似是一个无毒的.jpg文件。事实上,文件是有一个可执行的.scr文件,利用了right-to-left override (RTLO)技巧。当文件被打开时,Paint应用中会显示一张图片,与此同时,恶意代码会默默的在后台运行。

另外一个比较有趣的地方是,Darkhotel 间谍组织会使用窃取的数字证书签名他们的恶意软件。并且他们的组织成员似乎是韩国人或者会说韩语的人。

责任编辑:蓝雨泪 来源: FreeBuf
相关推荐

2011-01-21 18:06:13

华为1588v2时钟

2011-01-18 13:16:56

2021-03-09 10:10:23

中国电信ZStack

2014-01-17 17:24:22

王晓初中国电信

2011-12-09 12:07:53

电信

2013-06-26 09:39:26

云平台云资源管理ERP

2013-08-21 15:02:09

NECExpressClus

2009-08-31 16:12:41

中国电信软件商店

2012-10-23 13:14:43

2010-12-27 14:02:53

2013-02-01 18:18:43

Windows Ser中国电信案例

2011-10-13 12:33:23

电信Wi-Fi

2013-11-18 14:03:17

世界通信展中国电信4G

2010-06-10 23:10:48

中国电信华为

2010-08-20 12:00:46

印度电信设备

2010-06-04 15:30:09

电信设备印度

2011-09-08 12:19:29

2015-06-12 14:42:05

微软Windows Azu中国电信

2009-03-26 09:41:21

中国电信断网

2013-11-20 16:34:15

SAPSAP中国商业同略会SaaS
点赞
收藏

51CTO技术栈公众号