中国と北朝鮮の通信会社をターゲットにした DarkHotel が戻ってきた_html/css_WEB-ITnose

ThreatBook の脅威インテリジェンスによると、APT グループ DarkHotel は中国と北朝鮮の通信会社の幹部をターゲットにしています。

Darkhotel が組織したスパイ活動は、2014 年 11 月に Kaspersky Lab のセキュリティ専門家によって初めて発見されました。専門家は、DarkHotel グループが少なくとも 4 年間海外旅行をした企業幹部をターゲットにしていることを発見しました。専門家の分析によると、DarkHotel の活動の背後にある目的は、高級ホテルに滞在しているこれらの幹部から機密データを盗むことである可能性があります。懸念されるのは、ハッカー グループのメンバーがまだ活動していることです。

DarkHotel APT 攻撃者は、攻撃対象 (企業幹部) のホテルのチェックイン時間とチェックアウト時間を事前に知る能力を持っています。そして研究者らは、彼らが同じターゲットを二度ターゲットしたことは一度もなかったと指摘し、そのターゲットには、アジア太平洋地域を旅行する米国およびアジアのCEO、上級副社長、上級研究開発エンジニア、セールスおよびマーケティングディレクターが含まれていたと述べた。

ThreatBook のレポートによると、ハッカー グループは特別に細工された高度なスピア フィッシングを使用して攻撃を実行しました。

スピア フィッシング メッセージには悪意のあるファイルが添付されており、通常は、Word 文書にダウンロード リンクとして埋め込まれた、細工された SWF ファイルです。

DarkHotel のハッカーが Adob​​e Flash の脆弱性を悪用し、Adobe は 12 月 28 日に対応するパッチをリリースしました。

攻撃者の悪意のあるコード コンポーネントは OpenSSL ライブラリを偽装します。専門家はまた、検出されたマルウェアにはサンドボックス検出やオンザフライ復号化などの対応策が講じられていることも指摘しました。

DarkHotel マルウェアには、複製された証明書によって生成されたキーを分解し、信頼できる証明書を作成する機能もあります。攻撃者が弱いキーを解析して悪用する例は新しいものではなく、2011 年には Fox-IT、Microsoft、Mozilla、Entrust が警告を発していました。

DarkHotel の組織をより深く理解するために、2015 年 8 月に Kaspersky Lab によって更新されたレポートを見てみましょう。カスペルスキーは、APTグループDarkHotelの2015年の標的には、北朝鮮、ロシア、韓国、日本、バングラデシュ、タイ、インド、モザンビーク、ドイツが含まれていることを認めた。

DarkHotel が使用したフィッシングメールで悪用された脆弱性には、Hacking Team が漏洩した情報内の悪用コードの一部も含まれています。

「7 月から、ハッキング チームのリークから Flash 0days が使用され始めました。DarkHotel は、これらの 0days を使用して特定のシステムをターゲットにしているようです。tisone360.com からこのアクティビティの一部を特定できます。」と Kaspersky のブログには書かれています。

DarkHotel は 2010 年以来、難読化された HTML アプリケーション (HTML アプリケーション、略称 HTA) をバックドア ダウンロード ファイルとして適切に使用しており、8 月にはセキュリティ専門家が悪意のある HTA ファイルの新たなレベルの変異を発見しました。

「HTML アプリケーションは、1999 年に Microsoft によって導入された古い Windows テクノロジに大きく依存しているため、これは少し奇妙です」と専門家は言いました。

ハッカーは、検出を回避する方法としていくつかの難読化技術も使用しており、あるケースでは、署名に既知のウイルス対策ソリューションによって信頼されている証明書を使用していました。

DarkHotel が過去に実施したスピア フィッシング メールには、一見無害な .jpg ファイルを含む rar アーカイブが含まれていました。実際、これは実行可能な .scr ファイルです。このファイルが .jpg のように見えるのは、Unicode エンコーディング RTLO (右から左へのオーバーライド) が使用されているためです。ファイルを開くと、jpg 画像を開いたときのように見えます。 、悪意のあるコードは実際にはバックグラウンドで実行されています。

DarkHotel が実行するもう 1 つのスパイ活動は、正規のデジタル証明書を盗み、そのデジタル証明書を使用してマルウェアに署名することです。

カスペルスキーの専門家の分析によると、DarkHotel 組織は韓国のものである可能性があります。

単純かつ大雑把なセキュリティに関するアドバイス

あなたが経営者または重要人物である場合、攻撃者が機密個人情報を盗むのを防ぐために、最も簡単な方法は、ホテルのワイヤレス ネットワークやその他の信頼できないネットワーク ネットワークに直接接続しないことです。 、携帯電話のデータ通信量を使用してインターネットにアクセスしてみてください。

この記事は360セキュリティ放送から翻訳されたものです。転載する場合は「360セキュリティ放送から転載」と明記の上、リンクを貼ってください。

元のリンク: http://securityaffairs.co/wordpress/44932/cyber-crime/darkhotel-hackers-chinese-telecom.html