0
Den DarkHotel kampanj tar fasta på hög profil mål med hotellets Wi-Fi.
Bild: iStock
Ett avancerat dataintrång och cyberespionage kampanj mot högt värde målen har återvänt.
Den så kallade “DarkHotel” gruppen har varit aktiv i över ett decennium, med en underskrift varumärke för brottslighet som riktar affärsresenärer med malware attacker, med hjälp av Wi-Fi i lyx hotell i hela världen.
Hotel Wi-Fi-hotspots äventyras för att hjälpa till att leverera last i den valda pool av offren. Den exakta metoder för att kompromiss är fortfarande osäkra, men cybersäkerhet experter tror att det innebär att angripare distans som utnyttjar sårbarheter i programvara för server eller infiltrera hotellet och få fysisk tillgång till maskinerna.
De som står bakom kampanjen har utvecklats deras taktik och malware nyttolast, med en blandning av phishing och social ingenjörskonst med en komplex Trojan, för att bedriva spionage på företagets forskning och utveckling av personalen, verkställande Direktörer och andra högt uppsatta företagets tjänstemän.
Men nu aktörer bakom DarkHotel har ändrat taktik igen, med en ny form av skadlig kod kallas Inexsmar för att attackera politiska mål. Forskare vid Bitdefender — som har analyserat malware stam — har kopplat Inexsmar kampanj för att DarkHotel på grund av likheter med nyttolaster som levereras av tidigare kampanjer.
I likhet med andra spionage kampanjer, Inexsmar attack börjar med hög-nivå phishing e-post individuellt utformade för att vara intressant och övertygande till målet. “Den sociala ingenjörskonst som en del av attack innebär att en mycket genomarbetad nätfiske-e-post riktad till en person i taget,” Bogdan Botezatu, ledande e-hot analytiker på Bitdefender, berättade ZDNet.
Forskarna är fortfarande osäkra på vem som är målgrupp för kampanjen — och skadlig kod provet inte ger ledtrådar om detta — men den typ av phishing-mail som pekar mot regeringen och de politiska målen.
I e-postmeddelandet är en självextraherande arkiv paket, winword.exe som när det utförs börjar Trojan downloader processen.
För att undvika att offret blir misstänksam, downloader öppnas ett lockbete Word-dokument som kallas “Pyongyang Katalog Grupp e SEPTEMBER 2016 RC_Office_Coordination_Associate.docx’.
Det visar en lista över tänkta kontakter i den nordkoreanska huvudstaden, med hänvisningar till organisationer som FAO, fn: s utvecklingsprogram UNDP, FN, UNICEF och WFP. Det innehåller till och med varningar om spammare och säkerställa integritet — med offret läser detta precis som deras personliga integritet äventyras på grund av hackare.
Figuranten Word-dokument.
Bild: Bitdefender
För att undvika upptäckt, malware är hämtade i steg-en annan del av den kampanj som länkar det till DarkHotel. Den första etappen av downloader döljer även skadliga koder och strängar inuti en annars legitima OpenSSL-binären av statiskt länka den skadliga koden till den annars icke-närstående bibliotek kod.
Efter att skadlig kod körs mshta.exe drift-ett legitimt Microsoft HTML-Program mängd som behövs för att utföra .HTA-filer-ladda ner den andra delen av nyttolast och äventyrar målet med Trojan malware.
Forskare föreslår multi-stage Trojan är ett steg för att hålla skadlig kod konkurrenskraftiga eftersom offrens försvar förbättra.
“Detta tillvägagångssätt fungerar sitt syfte mycket bättre eftersom det både försäkrar malware vistelser uppdaterad via systemet uthållighet — detta inte kan ske direkt med hjälp av en exploatering, och ger angriparen mer flexibilitet i malware distribution”, säger pappers-av malware forskare Cristina Vatamanu, Alexandru Rusu, och Alexandru Maximciuc.
DarkHotel är en mycket sofistikerad hacka drift, lagring av digitala certifikat för att underlätta spridning av skadlig kod och distribuera bakdörrar med kod gömd under många lager av skydd.
Koncernen är noga med att dölja sina spår men den typ av attacker och hur DarkHotel plockar offer potentiellt anger medverkan av ett land skådespelare.
“Attribution är oftast svårt med denna typ av attack, men dess komplexitet och körsbär plockade offer visa att det är sannolikt att ett statligt stöd hot med allvarliga kompetens och resurser,” sade Botezatu.
LÄS MER OM IT-RELATERAD BROTTSLIGHET
Cyberkrig: smart person ‘ s guide [TechRepublic]Läckt NSA hacka utnyttja används i WannaCry ransomware är nu att driva Trojan malwareCIA verktyg som är utsatta av Wikileaks kopplade till dataintrång i 16 countriesTrump Hotell fångas upp i ett dataintrång (igen) [MAG]Mellanöstern hackare använder detta phishing teknik för att infektera politiska mål med Trojan malware
0