0
Die DarkHotel-Kampagne zielt auf high-profile-Ziele mit hotel Wi-Fi.
Bild: iStock
Ein fortgeschrittenes hacking und cyberespionage Kampagne gegen hochwertige Ziele, zurückgegeben hat.
Die so genannte “DarkHotel” – Gruppe engagiert sich schon seit über einem Jahrzehnt, mit einer Unterschrift Marke von cybercrime, die Ziele für Reisende mit malware-Attacken, über die Wi-Fi in Luxus-hotels auf der ganzen Welt.
Hotel mit Wi-Fi-hotspots gefährdet sind, um zu helfen, liefern die Nutzlast, um die ausgewählten pool von opfern. Die genauen Methoden des Kompromisses bleiben ungewiss, aber cybersecurity-Experten glauben, es beinhaltet die Angreifer aus der Ferne ausnutzen von Schwachstellen in server-software oder Infiltration der hotel-und gewinnt physischen Zugriff auf die Maschinen.
Wer hinter der Kampagne haben sich kontinuierlich entwickelt, Ihre Taktik und malware-payloads, mischen phishing und social engineering mit einem komplexen Trojaner, der zur Durchführung von Spionage auf Unternehmens-Forschung und Entwicklung-Personal, CEOs und andere hochrangige corporate Beamten.
Aber jetzt ist der Schauspieler hinter DarkHotel geändert haben Taktik wieder, mit einer neuen form von malware bekannt als Inexsmar angreifen politischen Ziele. Forscher bei Bitdefender — Patienten haben, analysiert die malware-Belastung — verlinkt haben, Inexsmar Kampagne DarkHotel aufgrund der Gemeinsamkeiten mit Nutzlasten ausgeliefert, die von früheren Kampagnen.
Gemeinsam mit anderen Spionage-Kampagnen, die Inexsmar Angriff beginnt mit high-level-phishing-E-Mails individuell gestaltet werden interessant und überzeugend zum Ziel. “Die social-engineering-Teil der attack beinhaltet eine sehr sorgfältig gestaltete phishing-E-Mail gezielt an eine person zu einem Zeitpunkt,” Bogdan Botezatu, senior e-threat analyst bei Bitdefender, sagte zu ZDNet.
Wissenschaftler bleiben unsicher, wer ist das Ziel der Kampagne-und der malware-sample keine Anhaltspunkte darüber-aber die Art der phishing-E-Mails darauf hin, Regierung und die politischen Ziele.
In der E-Mail ist ein selbst-extrahierendes Archiv-Paket, winword.exe werden, die, wenn ausgeführt, beginnt der Trojaner downloader-Prozess.
Um zu vermeiden, dass die Opfer immer verdächtig, der downloader öffnet sich ein Köder Word-Dokument namens “Pjöngjang Directory-Gruppe E-Mail-SEPTEMBER 2016 RC_Office_Coordination_Associate.docx’.
Es zeigt eine Liste von angeblichen Kontakte in die nordkoreanische Hauptstadt, mit verweisen auf Organisationen wie FAO, UNDP, UN, UNICEF und WFP. Es enthält sogar Warnungen über Spammer und Gewährleistung der Privatsphäre — mit dem Opfer der Lektüre dieses ebenso wie Ihre Privatsphäre wird von Hackern kompromittiert.
Der Köder Word-Dokument.
Bild: Bitdefender
Um zu verhindern, dass die Erkennung der malware heruntergeladen wird in Stadien — ein weiteres element der Kampagne, die es links zu DarkHotel. Die erste Stufe der downloader sogar versteckt schädlichen codes und Zeichenfolgen, die in einer ansonsten legitimen OpenSSL binary durch die statische Verknüpfung bösartigen code, die sonst in keinem Bibliotheks-code.
Daraus folgt, dass diese malware läuft ein mshta.exe Betrieb — eine legitime Microsoft HTML Application host benötigt, um Sie auszuführen .HTA-Dateien-herunterladen der zweite Teil der Nutzlast und gefährden das Ziel mit dem Trojan malware.
Forscher schlagen vor, die multi-stage-Trojan-download ist ein evolutionärer Schritt zu halten, die malware wettbewerbsfähig als Opfer Abwehrkräfte verbessern.
“Dieses Vorgehen dient dem Zweck viel besser, da es beide versichert, die malware bleibt up to date über die system-persistence — nicht erreichbar, direkt über einen exploit und gibt dem Angreifer mehr Flexibilität bei der Verbreitung von malware”, sagt das Papier durch die malware-Forscher Cristina Vatamanu, Alexandru Rusu, und Alexandru Maximciuc.
DarkHotel ist eine ausgeklügelte hacking-Betrieb, Aufstockung von digitalen Zertifikaten, um Hilfe bei der Verteilung von malware und bereitstellen von backdoors mit code verborgen unter vielen Schichten von Schutz.
Die Gruppe ist vorsichtig, um Ihre Spuren zu verwischen aber die Art der Angriffe und die Art und Weise DarkHotel-picks Opfer möglicherweise zeigt die Beteiligung von Nationalstaaten Schauspieler.
“Die Namensnennung ist in der Regel schwierig, mit dieser Art von Angriff, aber Ihre Komplexität und die handverlesene Opfer zeigen, dass es wahrscheinlich ist ein Staat gesicherte Drohung mit schweren Fähigkeiten und Ressourcen”, sagte Botezatu.
LESEN SIE MEHR ÜBER CYBERKRIMINALITÄT
Cyberwar: Der intelligente person ‘ s guide [TechRepublic]Durchgesickerten NSA hacking exploit verwendet in WannaCry ransomware ist jetzt einschalten Trojan malwareCIA tools ausgesetzt, die von Wikileaks verlinkten hacking über 16 countriesTrump Hotels gefangen in Verletzung der Datensicherheit (wieder) [CNET]Nahen Ostens hackers sind mit dieser phishing-Technik zu infizieren, um politische Ziele, die mit Trojan malware
0