设为首页收藏本站

安而遇随-随遇而安

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
安而遇随-随遇而安 首页 资讯 查看内容

Darkhotel APT强势回归:第一个目标锁定中国电信

2016-3-6 12:13| 发布者: 随便、先森。| 查看: 1151| 评论: 0|来自: FreeBuf

摘要: Darkhotel APT组织又回来了,重返后的第一个目标就是中国和朝鲜通信公司的高管们。 2014年11月,卡巴斯基实验室的安全专家首次发现了Darkhotel 间谍组织,并且发现该组织至少已经活跃了4年的时间,目标基本锁定在企 ...

Darkhotel APT组织又回来了,重返后的第一个目标就是中国和朝鲜通信公司的高管们。

2014年11月,卡巴斯基实验室的安全专家首次发现了Darkhotel 间谍组织,并且发现该组织至少已经活跃了4年的时间,目标基本锁定在企业高管。当这些企业高管心情愉悦的在奢侈酒店享受时,他们的敏感数据已经被黑客拿走。

当下比较令人烦躁的问题是,这个黑客组织还在继续活跃。

Darkhotel APT组织简介

该组织攻击者技术非常娴熟,就像资深的外科医生,只要是自己感兴趣的数据就一定能拿到,而且还会删除恶意行为的痕迹。研究员们还发现每个目标他们只窃取一次,绝不重复。受害者头衔一般为:CEO、高级副总裁、高级研发工程师、销售总监、市场总监。

Darkhotel 组织惯用的手段是鱼叉式钓鱼邮件,里面包含一个恶意文档附件,通常是精心伪造的SWF文件,并在word文档中嵌入了下载链接。利用的漏洞是Adobe Flash漏洞( CVE-2015-8651),但是该漏洞已在12月28日修复。攻击者将恶意代码伪装进OpenSSL库的一个组件中,还在恶意软件中加入了很多反检测方法,比如反沙盒过滤和just-in-time 解密。

卡巴斯基实验室对Darkhotel 组织进行了详细的调查,发现他们2015年内的目标主要位于朝鲜、俄罗斯、韩国、日本、孟加拉国、泰国、印度、莫桑比克和德国。

从2010年开始,Darkhotel APT就使用混淆HTML应用(HTA)文件在受害者系统上植入后门和下载器代码,去年8月份,安全专家们又发现了恶意HTA文件的新变种。

攻击者们还提升了混淆技术,使用更高效的躲避方法,比如,攻击者使用签名的下载器检测已知的杀毒方案。

Darkhotel APT过去使用的鱼叉式钓鱼邮件的附件是.rar压缩文件,看似是一个无毒的.jpg文件。事实上,文件是有一个可执行的.scr文件,利用了right-to-left override (RTLO)技巧。当文件被打开时,Paint应用中会显示一张图片,与此同时,恶意代码会默默的在后台运行。

另外一个比较有趣的地方是,Darkhotel 间谍组织会使用窃取的数字证书签名他们的恶意软件。并且他们的组织成员似乎是韩国人或者会说韩语的人。

* 参考来源:securityaffairs


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

  • 解决 Wn10无法连接 蓝牙耳
  • Python之Selenium知识总结
  • 2万字带你了解Selenium全攻
  • 解决网站网页不能复制,不
  • 我对ddos攻击的见解以及ufo
论坛精选
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程
NTP放大反射DDOS攻
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程 图上是国外测的 本文实测 能有二三
DDOS:NTP、SSDP、DNS、SNMP、RIP 放大反射攻击、扫描脚本
DDOS:NTP、SSDP、D
NTP、SSDP、DNS、SNMP、RIP 放大反射攻击扫描脚本 不懂的 请自行谷歌 声明:本文转
返回顶部