0
De DarkHotel campagne richt op high-profile doelen met behulp van hotel Wi-Fi.
Beeld: iStock
Een geavanceerde hacken en cyberespionage campagne tegen de hoge waarde doelen heeft geretourneerd.
De zogenaamde ‘DarkHotel’ groep is actief voor meer dan een decennium, met een handtekening merk van cybercriminaliteit die richt zich op zakelijke reizigers met malware-aanvallen, het gebruik van de Wi-Fi in luxe hotels over de hele wereld.
Hotel Wi-Fi-hotspots zijn aangetast, om te helpen met het leveren van de lading naar de geselecteerde groep van slachtoffers. De exacte manier van in gevaar brengen blijven onzeker, maar cybersecurity-experts geloven dat het gaat om aanvallers op afstand exploitatie van kwetsbaarheden in de server software, of het infiltreren van het hotel en het verwerven van fysieke toegang tot de machines.
De mensen achter de campagne heeft voortdurend geëvolueerd hun tactieken en malware payloads, het mengen van phishing en social engineering met een complexe Trojan, om uit te voeren spionage op corporate research en ontwikkeling van het personeel, Ceo ‘ s en andere hoge ranking corporate ambtenaren.
Maar nu de acteurs achter DarkHotel veranderd tactiek opnieuw, met een nieuwe vorm van malware is bekend als Inexsmar te vallen politieke doelen. Onderzoekers van Bitdefender — die hebben een analyse gemaakt van de malware stam — hebt gekoppeld met de Inexsmar campagne te DarkHotel vanwege overeenkomsten met payloads geleverd door de vorige campagnes.
In veel andere spionage-campagnes, de Inexsmar aanval begint met een hoog niveau van phishing-e-mails individueel ontworpen om interessant en overtuigend naar het doel. “De social engineering deel van de aanval gaat om een zeer zorgvuldig opgebouwde phishing-e-mail gericht aan één persoon tegelijk,” Bogdan Botezatu, senior e-bedreiging analist bij Bitdefender, vertelde ZDNet.
Onderzoekers blijven onzeker over wie is het doelwit van de campagne en de malware steekproef geen aanwijzingen bevatten over, maar de aard van de phishing e-mails wijzen in de richting van overheid en politieke doelen.
In de e-mail is een self-extracting archief pakket, winword.exe, die bij zijn uitgevoerd, begint de Trojan downloader proces.
Om te voorkomen dat het slachtoffer aan de verdachte, de downloader opent een blanco Word document genaamd ‘Pyongyang Directory-Groep e-SEPTEMBER 2016 RC_Office_Coordination_Associate.docx’.
Het toont een lijst van vermeende contacten in de Noord-koreaanse hoofdstad, met verwijzingen naar organisaties, zoals FAO, UNDP, de VN, UNICEF, WFP. Het bevat zelfs waarschuwingen over spammers en het waarborgen van privacy — met het slachtoffer dit leest, net als hun privacy wordt aangetast door hackers.
De kooiker Word-document.
Afbeelding: Bitdefender
Om detectie te voorkomen, de malware wordt gedownload in fasen — een ander onderdeel van de campagne die de links naar DarkHotel. De eerste fase van de downloader verbergt zelfs kwaadaardige codes en strijkers in een overigens legitiem OpenSSL binaire door het statisch koppelen van de schadelijke code aan het anders niets code bibliotheek.
Na deze, de malware loopt een mshta.exe bediening — een legitieme Microsoft-HTML Application host nodig om uit te voeren .HTA-bestanden te downloaden van het tweede deel van de lading en het in gevaar brengen van de doelgroep met de Trojan malware.
De onderzoekers suggereren dat de multi-stage Trojan download is een evolutionaire stap om de malware competitieve als slachtoffers verdediging te verbeteren.
“Deze aanpak dient hun doel veel beter, omdat het zowel verzekert de malware blijft up-to-date via het systeem persistentie — niet haalbaar direct met behulp van een exploit, en geven de aanvaller meer flexibiliteit in het verspreiden van malware,” zegt het papier door malware-onderzoekers Cristina Vatamanu, Alexandru Rusu, en Alexandru Maximciuc.
DarkHotel is een zeer geavanceerde hacken bewerking, de opslag van digitale certificaten om te helpen bij de distributie van malware en implementeren achterdeuren met code verborgen onder vele lagen van bescherming.
De groep is voorzichtig hun sporen te verbergen, maar de aard van de aanvallen en de manier DarkHotel picks slachtoffers potentieel geeft aan dat de betrokkenheid van een land acteur.
“Attribution is meestal moeilijk met dit soort aanvallen, maar de complexiteit en de kersen geplukt slachtoffers laten zien dat het waarschijnlijk een state-back-bedreiging met ernstige vaardigheden en middelen,” zei Botezatu.
LEES MEER OVER CYBERCRIMINALITEIT
Cyberoorlog: Het smart person ‘ s guide [TechRepublic]Gelekt NSA hacken exploit gebruikt in WannaCry ransomware is nu het voeden van Trojan malwareCIA instrumenten blootgesteld, door Wikileaks gekoppeld aan het hacken over 16 countriesTrump Hotels gevangen in de data breach (opnieuw) [CNET]het Midden-Oosten hackers gebruik van deze phishing techniek te infecteren politieke doelstellingen met Trojan malware
0