Darkhotel APT組織又回來了，重返后的第一個目標(biāo)就是中國和朝鮮通信公司的高管們。

2014年11月，卡巴斯基實驗室的安全專家首次發(fā)現(xiàn)了Darkhotel 間諜組織，并且發(fā)現(xiàn)該組織至少已經(jīng)活躍了4年的時間，目標(biāo)基本鎖定在企業(yè)高管。當(dāng)這些企業(yè)高管心情愉悅的在奢侈酒店享受時，他們的敏感數(shù)據(jù)已經(jīng)被黑客拿走。

當(dāng)下比較令人煩躁的問題是，這個黑客組織還在繼續(xù)活躍。

Darkhotel APT組織簡介

該組織攻擊者技術(shù)非常嫻熟，就像資深的外科醫(yī)生，只要是自己感興趣的數(shù)據(jù)就一定能拿到，而且還會刪除惡意行為的痕跡。研究員們還發(fā)現(xiàn)每個目標(biāo)他們只竊取一次，絕不重復(fù)。受害者頭銜一般為：CEO、高級副總裁、高級研發(fā)工程師、銷售總監(jiān)、市場總監(jiān)。

Darkhotel 組織慣用的手段是魚叉式釣魚郵件，里面包含一個惡意文檔附件，通常是精心偽造的SWF文件，并在word文檔中嵌入了下載鏈接。利用的漏洞是Adobe Flash漏洞( CVE-2015-8651)，但是該漏洞已在12月28日修復(fù)。攻擊者將惡意代碼偽裝進OpenSSL庫的一個組件中，還在惡意軟件中加入了很多反檢測方法，比如反沙盒過濾和just-in-time 解密。

卡巴斯基實驗室對Darkhotel 組織進行了詳細(xì)的調(diào)查，發(fā)現(xiàn)他們2015年內(nèi)的目標(biāo)主要位于朝鮮、俄羅斯、韓國、日本、孟加拉國、泰國、印度、莫桑比克和德國。

從2010年開始，Darkhotel APT就使用混淆HTML應(yīng)用(HTA)文件在受害者系統(tǒng)上植入后門和下載器代碼，去年8月份，安全專家們又發(fā)現(xiàn)了惡意HTA文件的新變種。

攻擊者們還提升了混淆技術(shù)，使用更高效的躲避方法，比如，攻擊者使用簽名的下載器檢測已知的殺毒方案。

Darkhotel APT過去使用的魚叉式釣魚郵件的附件是.rar壓縮文件，看似是一個無毒的.jpg文件。事實上，文件是有一個可執(zhí)行的.scr文件，利用了right-to-left override (RTLO)技巧。當(dāng)文件被打開時，Paint應(yīng)用中會顯示一張圖片，與此同時，惡意代碼會默默的在后臺運行。

另外一個比較有趣的地方是，Darkhotel 間諜組織會使用竊取的數(shù)字證書簽名他們的惡意軟件。并且他們的組織成員似乎是韓國人或者會說韓語的人。