卡巴斯基實(shí)驗室發(fā)現“黑暗酒店”網(wǎng)絡(luò )間諜組織從七月初開(kāi)始���,也就是HackingTeam文件在7月5日泄露后不久��,就使用HackingTeam泄露的零日漏洞進(jìn)行攻擊����。盡管從去年開(kāi)始��,這一攻擊組織就想盡辦法增強其防御措施�。例如���,擴展其反檢測技術(shù)列表����。2015年版本的“黑暗酒店”下載器能夠識別來(lái)自27家安全廠(chǎng)商的反病毒技術(shù)�,并試圖繞過(guò)這些安全產(chǎn)品的檢測����?�?ò退够鶎?shí)驗室針對個(gè)人與企業(yè)用戶(hù)的產(chǎn)品能夠成功檢測和攔截“黑暗酒店”惡意組件�����,并已將其檢測為T(mén)rojan.Win32.DarkhotelandTrojan-Dropper.Win32.Dapato��。
HackingTeam是一家向某些政府和執法機關(guān)銷(xiāo)售“合法間諜軟件”的企業(yè)�。HackingTeam公司的文件發(fā)生泄露后�,一些網(wǎng)絡(luò )間諜組織已經(jīng)開(kāi)始使用這些泄露的文件實(shí)施惡意攻擊�����,而這些文件原本就是HackingTeam提供給客戶(hù)用以發(fā)動(dòng)攻擊使用的�。泄露的文件中包括多個(gè)針對AdobeFlashPlayer和Windows操作系統的漏洞利用程序�����。其中至少有一個(gè)漏洞利用程序已經(jīng)被強大的網(wǎng)絡(luò )攻擊組織“黑暗酒店”用以執行其它目的��。
卡巴斯基實(shí)驗室安全專(zhuān)家于2014年便發(fā)現了一個(gè)名為“黑暗酒店”的精英間諜攻擊組織���,該組織會(huì )通過(guò)入侵豪華酒店的Wi-Fi網(wǎng)絡(luò )����,攻擊企業(yè)高管�,竊取資料�。而且Darkhotel并不是HackingTeam公司的客戶(hù)�,所以“黑暗酒店”應該是在這些文件被公開(kāi)之后獲取到的��。
此外��,這并不是該攻擊組織所使用的唯一的零日漏洞��??ò退够鶎?shí)驗室估計在過(guò)去幾年中�,該攻擊組織使用的針對AdobeFlashPlayer的零日漏洞至少有六個(gè)之多��。顯而易見(jiàn)�,“黑暗酒店”在壯大其攻擊能力方面投入巨大��。2015年�����,“黑暗酒店”繼續在全球范圍內擴展其影響�,并且還在朝鮮����、韓國�、俄羅斯�、日本����、孟加拉���、泰國����、印度�、莫桑比克和德國對目標繼續進(jìn)行魚(yú)叉式釣魚(yú)攻擊��。
作為一個(gè)活躍了近八年時(shí)間的知名的APT(高級可持續性威脅)攻擊組織��,“黑暗酒店”在近期采用了新的攻擊手段�����,并且有新的動(dòng)向����?�?ò退够鶎?shí)驗室的調查發(fā)現���,在2014年以及更早的攻擊中���,“黑暗酒店”攻擊組織使用竊取到的證書(shū)以及不尋常的攻擊手段(例如入侵酒店的Wi-Fi網(wǎng)絡(luò ))在受攻擊者的系統上植入間諜工具�。2015年��,該攻擊組織仍然在使用這些攻擊技巧和行動(dòng)�。但是����,卡巴斯基實(shí)驗室還發(fā)現了一種新的惡意可執行文件變種���、更多的被盜數字證書(shū)以及社交工程技巧����,同時(shí)該組織還部署了來(lái)自HackingTeam的零日漏洞:
?繼續使用被盜數字證書(shū):“黑暗酒店”攻擊組織似乎儲備有大量被盜證書(shū)��,并使用這些證書(shū)對其下載器和后門(mén)程序進(jìn)行數字簽名��,欺騙被攻擊系統�����。其中包括一些最近被廢除的證書(shū)�����,例如XuchangHongguangTechnologyCo.Ltd公司的數字證書(shū)�����。而早在之前的攻擊中����,“黑暗酒店”就使用過(guò)這家公司的數字證書(shū)����。
?不懈的魚(yú)叉式釣魚(yú)攻擊:“黑暗酒店”攻擊非常執著(zhù)和持久��。攻擊者會(huì )試圖利用魚(yú)叉式釣魚(yú)攻擊感染目標��。如果當時(shí)不成功��,攻擊者會(huì )過(guò)幾個(gè)月后再次嘗試�����,并且使用幾乎一樣的社交工程技巧進(jìn)行攻擊���。
?部署HackingTeam的零日漏洞利用程序:受感染網(wǎng)站tisone360.com包含一系列后門(mén)程序和漏洞利用程序���。而這些漏洞利用程序來(lái)自HackingTeam的Flash零日漏洞�。
對于此次重大發(fā)現�,卡巴斯基實(shí)驗室首席安全研究員KurtBaumgartner表示:“‘黑暗酒店’再度來(lái)襲�����,并且又使用了一種新的AdobeFlashPlayer漏洞利用程序���,將其置于一個(gè)被感染的網(wǎng)站上����。不僅如此����,這次他們所使用的漏洞利用程序似乎來(lái)自HackingTeam所泄露的零日漏洞�。該攻擊組織曾經(jīng)在同樣的網(wǎng)站上����,使用過(guò)另一種不同的Flash漏洞利用程序���,我們在2014年1月將其上報為一種Adobe零日漏洞���?!诎稻频辍谶^(guò)去幾年中��,使用了多種Flash零日漏洞和半日漏洞�����。所以���,該攻擊組織可能儲備了很多漏洞�����,用于針對高級別的目標進(jìn)行全球范圍內的精準攻擊�。根據以往的攻擊�,我們知道‘黑暗酒店’主要攻擊企業(yè)CEO���、高級副總裁����、銷(xiāo)售和市場(chǎng)總監以及高級研發(fā)人員����?!?/p>
相關(guān)熱詞搜索:卡巴斯基“黑暗酒店”間諜組織HackingTeam
