0
Den DarkHotel kampagne, der tager sigte på et højt profileret mål, ved hjælp af hotellet Wi-Fi.
Billede: iStock
En avanceret hacking og cyberespionage kampagne mod høj-værdi mål er vendt tilbage.
Den såkaldte ‘DarkHotel’ gruppe har været aktive i over et årti, med en underskrift mærke af it-kriminalitet som mål forretningsrejsende med malware-angreb, ved hjælp af Wi-Fi på luksus hoteller i hele verden.
Hotel Wi-Fi-hotspots, der er svækket, for at hjælpe med at levere lasten for den valgte pulje af ofre. Den nøjagtige metoder til kompromis, er stadig usikker, men cybersecurity eksperter mener, at det indebærer angribere fjernt at udnytte sårbarheder i server-software eller infiltrerer hotel og få fysisk adgang til maskinerne.
Dem, der står bag kampagnen har løbende udviklet deres taktik og malware nyttelast, blanding af phishing og social engineering med en kompleks Trojan, for at udføre spionage om virksomhedernes forskning og udvikling af medarbejdere, Direktører og andre højtstående corporate embedsmænd.
Men nu aktører bag DarkHotel har ændret taktik igen, ved hjælp af en ny form for malware kendt som Inexsmar til at angribe politiske mål. Forskere ved Bitdefender — der har analyseret malware stamme — har knyttet Inexsmar kampagne for at DarkHotel på grund af lighederne med nyttelast, leveret af tidligere kampagner.
I lighed med andre spionage kampagner, Inexsmar angreb begynder med høj-niveau phishing-e-mails individuelt designet til at være interessant og overbevisende til målet. “Social engineering del af angrebet består af et meget omhyggeligt udformet phishing-e-mail målrettet til én person ad gangen,” Bogdan Botezatu, senior e-trussel, analytiker hos Bitdefender, fortalte ZDNet.
Forskerne er fortsat usikre på, om der er ved at blive ramt af kampagnen-og malware prøve ikke give et fingerpeg om dette-men det er karakteren af phishing-mails, der peger i retning af regeringen og de politiske mål.
I den email er et selvudpakkende arkiv, pakke, winword.exe, som, når udført begynder Trojan downloader proces.
For at undgå offeret at blive mistænkelige, de downloader åbnes en lokkedue Word-dokument kaldet ‘Pyongyang Bibliotek Gruppe e-mail-SEPTEMBER 2016 RC_Office_Coordination_Associate.docx’.
Det viser en liste af formodede kontakter i den nordkoreanske hovedstad, med henvisninger til organisationer, herunder FAO, UNDP, FN, UNICEF og WFP. Det selv indeholder advarsler om spammere og sikre privatlivets fred — med offeret, der læser dette, ligesom deres privatliv bliver kompromitteret af hackere.
Decoy Word-dokument.
Billede: Bitdefender
For at forhindre afsløring, den malware, der er downloadet i etaper-et andet element i kampagnen, der forbinder det til DarkHotel. Den første fase af den downloader selv skjuler ondsindede koder og strenge inde i et ellers legitimt OpenSSL binære af statisk forbinder den ondsindede kode til at den ellers ikke-forretningsmæssigt forbundne bibliotek kode.
Efter denne malware kører en mshta.exe drift-en legitim Microsoft HTML-Program vært er nødvendige for at udføre .MTV-filer — for at hente den anden del af nyttelast og kompromis målet med Trojan, malware.
Forskere peger på, multi-fase Trojanske download er en evolutionære skridt til at holde malware konkurrencedygtige som ofre,’ forsvar forbedre.
“Denne fremgangsmåde tjener deres formål er meget bedre, da det både sikrer at det malware bliver opdateret via system vedholdenhed — ikke kan opnås direkte ved hjælp af en udnyttelse, og at give angriberen mere fleksibilitet i malware distribution,” siger papir af malware forskere Cristina Vatamanu, Alexandru Rusu, og Alexandru Maximciuc.
DarkHotel er en yderst sofistikeret hacking betjening, oplagring digitale certifikater til at støtte distribution af malware og installere bagdøre med kode skjult under mange lag af beskyttelse.
Gruppen er omhyggelig med at dække deres spor, men karakteren af de angreb, og den måde, DarkHotel picks ofre potentielt indikerer, at inddragelse af en nationalstat skuespiller.
“Attribution er normalt svært med denne type angreb, men dens kompleksitet og håndplukket af ofrene viser, at det er sandsynligt, en state-backed trussel med alvorlige færdigheder og ressourcer,” sagde Botezatu.
LÆS MERE OM IT-KRIMINALITET
Cyberkrig: smart person ‘ s guide [TechRepublic]Lækket NSA hacking, exploit, der anvendes i WannaCry ransomware er nu kraftoverførsel Trojan malwareCIA værktøjer afsløret af Wikileaks er knyttet til hacking hele 16 countriesTrump Hoteller, der er fanget i data, brud (igen) [CNET]Mellemøsten, som hackere bruger til denne phishing-teknik til at inficere politiske mål med Trojan, malware
0