0
Il DarkHotel campagna che prende di mira di alto profilo obiettivi hotel Wi-Fi gratuita.
Immagine: iStock
Un avanzato hacking e cyberespionage campagna contro obiettivi di alto valore è tornato.
Il cosiddetto ‘DarkHotel gruppo è stato attivo per oltre un decennio, con un marchio firma del crimine informatico che si rivolge a viaggiatori di affari con gli attacchi di malware, utilizzando la connessione internet Wi-Fi negli hotel di lusso in tutto il mondo.
Hotel Wi-Fi tramite hotspot è compromessa al fine di contribuire a fornire il payload per il pool selezionato di vittime. L’esatta metodi di compromesso rimane incerto, ma esperti di sicurezza informatica credere che coinvolge gli attaccanti in remoto sfruttando le vulnerabilità del software server o infiltranti, l’hotel e l’accesso fisico alle macchine.
Quelli dietro la campagna si sono evolute le loro tattiche e malware payload, fusione di phishing e di ingegneria sociale, con un complesso di Troia, in ordine alla condotta di spionaggio aziendale la ricerca e lo sviluppo del personale, direttori generali e altri di alta classifica e funzionari aziendali.
Ma ora gli attori dietro DarkHotel hanno cambiato tattica, utilizzando una nuova forma di malware noto come Inexsmar per attaccare obiettivi politici. I ricercatori di Bitdefender, che ho analizzato il malware ceppo — collegato il Inexsmar campagna per DarkHotel a causa delle somiglianze con un carico consegnato da precedenti campagne.
In comune con altre campagne di spionaggio, il Inexsmar attacco inizia con un alto livello di e-mail di phishing individualmente progettato per essere interessante e convincente per l’obiettivo. “Il social engineering parte di un attacco richiede molto accuratamente predisposto e-mail di phishing mirati a una persona alla volta”, Bogdan Botezatu, senior e minaccia di analista di Bitdefender, ha detto a ZDNet.
I ricercatori rimangono incerti su chi è preso di mira da la campagna, e il campione di malware non fornisce indizi su questo, ma la natura di e-mail di phishing punto verso il governo e obiettivi politici.
All’interno della e-mail è un archivio autoestraente pacchetto, winword.exe che, quando eseguito inizia il Trojan downloader processo.
Per evitare che la vittima sempre sospettoso, il downloader si apre un richiamo documento di Word denominato ‘Pyongyang Directory e-mail di Gruppo SETTEMBRE 2016 RC_Office_Coordination_Associate.docx’.
Mostra un elenco di presunti contatti nella capitale della corea del Nord, con i riferimenti alle organizzazioni tra cui la FAO, UNDP, l’ONU, l’UNICEF e WFP. Esso contiene anche gli avvertimenti circa gli spammer e garantire la privacy-con la vittima la lettura di questo, proprio come la loro privacy è compromessa da parte di hacker.
Il richiamo documento di Word.
Immagine: Bitdefender
Al fine di evitare il rilevamento, il malware viene scaricato in fasi-un altro elemento della campagna, che la collega alla DarkHotel. La prima fase del downloader si nasconde anche codici maligni e stringhe all’interno di un legittimo librerie OpenSSL da linkare staticamente il codice maligno altrimenti estranei codice della libreria.
A seguito di questo, il malware viene eseguito un mshta.exe operazione — legittimo Microsoft HTML Application host necessari per l’esecuzione .HTA file — per scaricare la seconda parte del payload e di compromesso, il bersaglio con il malware Trojan.
I ricercatori suggeriscono che il multi-fase di download Trojan è un passo evolutivo per mantenere il malware competitivo come vittime difese migliorare.
“Questo approccio serve il loro scopo molto meglio in quanto entrambi assicura il malware rimane aggiornato attraverso un sistema di persistenza — non realizzabile direttamente utilizzando un exploit, e dando la possibilità di una maggiore flessibilità nella distribuzione di malware”, dice la carta da ricercatori di malware Cristina Vatamanu, Alexandru Rusu, e Alexandru Maximciuc.
DarkHotel è un software altamente sofisticato operazione di hacking, il possesso di certificati digitali per favorire la distribuzione di malware e distribuire backdoor con il codice nascosto sotto molti strati di protezione.
Il gruppo è attento a coprire le loro tracce, ma la natura degli attacchi e il modo in cui DarkHotel sceglie vittime potenzialmente indica il coinvolgimento di uno stato-nazione attore.
“L’attribuzione di solito è difficile con questo tipo di attacco, ma la sua complessità e la ciliegia raccolte vittime mostrano che si tratta probabilmente di un stato sostenuto minaccia con gravi competenze e risorse,” ha detto Botezatu.
PER SAPERNE DI PIÙ SULLA CRIMINALITÀ INFORMATICA
Cyberwar: La persona intelligente guida [TechRepublic]Trapelato NSA hacking exploit utilizzato in WannaCry ransomware è ora di accendere Trojan malwareCIA strumenti esposti da Wikileaks legate all’hacking su 16 countriesTrump Alberghi coinvolti in caso di violazione di dati (di nuovo) [CNET]del Medio oriente, gli hacker stanno utilizzando questa tecnica di phishing per infettare obiettivi politici con il malware Trojan
0