首页> 行业新闻> 新闻详情
卡巴斯基新发现:“黑暗酒店”网络间谍组织再度来袭
来源网络      作者:拾牛网络      时间:2015-08-25

卡巴斯基实验室发现“黑暗酒店”网络间谍组织从七月初开始,也就是HackingTeam文件在7月5日泄露后不久,就使用HackingTeam泄露的零日漏洞进行攻击。尽管从去年开始,这一攻击组织就想尽办法增强其防御措施。例如,扩展其反检测技术列表。2015年版本的“黑暗酒店”下载器能够识别来自27家安全厂商的反病毒技术,并试图绕过这些安全产品的检测。卡巴斯基实验室针对个人与企业用户的产品能够成功检测和拦截“黑暗酒店”恶意组件,并已将其检测为Trojan.Win32.DarkhotelandTrojan-Dropper.Win32.Dapato。

HackingTeam是一家向某些政府和执法机关销售“合法间谍软件”的企业。HackingTeam公司的文件发生泄露后,一些网络间谍组织已经开始使用这些泄露的文件实施恶意攻击,而这些文件原本就是HackingTeam提供给客户用以发动攻击使用的。泄露的文件中包括多个针对AdobeFlashPlayer和Windows操作系统的漏洞利用程序。其中至少有一个漏洞利用程序已经被强大的网络攻击组织“黑暗酒店”用以执行其它目的。

卡巴斯基实验室安全专家于2014年便发现了一个名为“黑暗酒店”的精英间谍攻击组织,该组织会通过入侵豪华酒店的Wi-Fi网络,攻击企业高管,窃取资料。而且Darkhotel并不是HackingTeam公司的客户,所以“黑暗酒店”应该是在这些文件被公开之后获取到的。

此外,这并不是该攻击组织所使用的唯一的零日漏洞。卡巴斯基实验室估计在过去几年中,该攻击组织使用的针对AdobeFlashPlayer的零日漏洞至少有六个之多。显而易见,“黑暗酒店”在壮大其攻击能力方面投入巨大。2015年,“黑暗酒店”继续在全球范围内扩展其影响,并且还在朝鲜、韩国、俄罗斯、日本、孟加拉、泰国、印度、莫桑比克和德国对目标继续进行鱼叉式钓鱼攻击。

作为一个活跃了近八年时间的知名的APT(高级可持续性威胁)攻击组织,“黑暗酒店”在近期采用了新的攻击手段,并且有新的动向。卡巴斯基实验室的调查发现,在2014年以及更早的攻击中,“黑暗酒店”攻击组织使用窃取到的证书以及不寻常的攻击手段(例如入侵酒店的Wi-Fi网络)在受攻击者的系统上植入间谍工具。2015年,该攻击组织仍然在使用这些攻击技巧和行动。但是,卡巴斯基实验室还发现了一种新的恶意可执行文件变种、更多的被盗数字证书以及社交工程技巧,同时该组织还部署了来自HackingTeam的零日漏洞:

?继续使用被盗数字证书:“黑暗酒店”攻击组织似乎储备有大量被盗证书,并使用这些证书对其下载器和后门程序进行数字签名,欺骗被攻击系统。其中包括一些最近被废除的证书,例如XuchangHongguangTechnologyCo.Ltd公司的数字证书。而早在之前的攻击中,“黑暗酒店”就使用过这家公司的数字证书。

?不懈的鱼叉式钓鱼攻击:“黑暗酒店”攻击非常执着和持久。攻击者会试图利用鱼叉式钓鱼攻击感染目标。如果当时不成功,攻击者会过几个月后再次尝试,并且使用几乎一样的社交工程技巧进行攻击。

?部署HackingTeam的零日漏洞利用程序:受感染网站tisone360.com包含一系列后门程序和漏洞利用程序。而这些漏洞利用程序来自HackingTeam的Flash零日漏洞。

对于此次重大发现,卡巴斯基实验室首席安全研究员KurtBaumgartner表示:“‘黑暗酒店’再度来袭,并且又使用了一种新的AdobeFlashPlayer漏洞利用程序,将其置于一个被感染的网站上。不仅如此,这次他们所使用的漏洞利用程序似乎来自HackingTeam所泄露的零日漏洞。该攻击组织曾经在同样的网站上,使用过另一种不同的Flash漏洞利用程序,我们在2014年1月将其上报为一种Adobe零日漏洞。‘黑暗酒店’在过去几年中,使用了多种Flash零日漏洞和半日漏洞。所以,该攻击组织可能储备了很多漏洞,用于针对高级别的目标进行全球范围内的精准攻击。根据以往的攻击,我们知道‘黑暗酒店’主要攻击企业CEO、高级副总裁、销售和市场总监以及高级研发人员。”

相关热词搜索:卡巴斯基“黑暗酒店”间谍组织HackingTeam