信息來(lái)源：51CTO

最近一個(gè)高級(jí)持續(xù)性威脅(APT)組織一直在對(duì)中國(guó)澳門(mén)的豪華酒店開(kāi)展魚(yú)叉式釣魚(yú)攻擊活動(dòng)，其目的是為了破壞它們的網(wǎng)絡(luò)設(shè)施并竊取那些住在度假村的有高知名度的客人的敏感數(shù)據(jù)。這些被攻擊的酒店就包括了路環(huán)度假村和永利皇宮。

Trellix的一份威脅研究報(bào)告大致確定韓國(guó)的DarkHotel APT組織是這些攻擊背后的罪魁禍?zhǔn)住?

研究人員說(shuō)，此次魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊活動(dòng)始于11月末，犯罪分子將一些載有惡意Excel宏文件的電子郵件發(fā)送到了可以訪問(wèn)酒店網(wǎng)絡(luò)的管理層的郵箱中，其中就包括了人力資源和辦公室經(jīng)理。

在其中的一次攻擊中，釣魚(yú)郵件在12月7日發(fā)送到了17家不同的酒店中，并偽造該郵件是由澳門(mén)政府旅游局發(fā)出的，其攻擊目的在于收集這些酒店所住用戶的信息。這些郵件要求收件人打開(kāi)一個(gè)標(biāo)有 "旅客查詢 "的Excel附件文件。

Trellix公司的威脅研究人員說(shuō)，電子郵件的內(nèi)容要求用戶打開(kāi)附件中的文件，并回信說(shuō)明這些人是否住在酒店里?該郵件的署名是旅游局檢查處。

研究人員懷疑DarkHotel竊取數(shù)據(jù)計(jì)劃在未來(lái)進(jìn)行攻擊

報(bào)告說(shuō)，Trellix大致能夠?qū)⑦@些攻擊歸咎于DarkHotel組織，因?yàn)樗麄兊闹笓]和控制服務(wù)器(C2)的IP地址以前曾與該組織有過(guò)聯(lián)系;DarkHotel經(jīng)常以酒店為攻擊目標(biāo)，并且在C2中發(fā)現(xiàn)的設(shè)置模式與已知的DarkHotel的活動(dòng)模式非常相符。

Trellix團(tuán)隊(duì)說(shuō)，我們目前對(duì)此還沒(méi)有一個(gè)很高的確信度，因?yàn)檫@個(gè)IP地址在被公開(kāi)曝光后仍然活躍了相當(dāng)長(zhǎng)的一段時(shí)間，而且該IP地址還進(jìn)行了其他的與該威脅無(wú)關(guān)的網(wǎng)絡(luò)攻擊。這些觀察結(jié)果使得我們?cè)谡{(diào)查歸因方面更加的謹(jǐn)慎。

Trellix團(tuán)隊(duì)解釋說(shuō)，用戶一旦打開(kāi)了該文件，這些惡意的宏代碼就會(huì)與C2服務(wù)器建立聯(lián)系，開(kāi)始從酒店網(wǎng)絡(luò)中滲透竊取數(shù)據(jù)。

Trellix在報(bào)告中補(bǔ)充說(shuō)，進(jìn)行惡意攻擊的命令和控制服務(wù)器曾經(jīng)試圖冒充密克羅尼西亞聯(lián)邦合法政府網(wǎng)站的域名。然而，真正的密克羅尼西亞網(wǎng)站域名是'fsmgov.org'。

Trellix團(tuán)隊(duì)說(shuō)，他們懷疑攻擊者只是在收集數(shù)據(jù)，以便日后進(jìn)行利用。

Trellix研究人員報(bào)告說(shuō)，在研究了目標(biāo)酒店的活動(dòng)議程后，我們確實(shí)發(fā)現(xiàn)了多個(gè)威脅行為者可能會(huì)感興趣的會(huì)議，例如，一家酒店正在舉辦國(guó)際環(huán)境論壇和國(guó)際貿(mào)易與投資博覽會(huì)，這兩個(gè)活動(dòng)都會(huì)吸引潛在的間諜活動(dòng)攻擊。

該團(tuán)隊(duì)說(shuō)，魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)活動(dòng)于1月18日停止。

由于COVID-19的流行停止了會(huì)議

也就是說(shuō)，由于COVID-19的大流行取消或推遲了這些活動(dòng)，這才給了執(zhí)法部門(mén)時(shí)間去抓獲嫌疑人。到2021年12月，澳門(mén)治安警察局收到了警察局網(wǎng)絡(luò)安全事件警報(bào)和應(yīng)急中心的通知，一個(gè)治安警察局官方網(wǎng)頁(yè)的域名被用來(lái)傳播惡意軟件以及實(shí)施非法行為。

Trellix報(bào)告補(bǔ)充說(shuō)，犯罪分子除了對(duì)酒店進(jìn)行攻擊以外，其他的犯罪活動(dòng)都用了同一個(gè)C2 IP地址，據(jù)研究該C2可能是由DarkHotel所控制，他們?cè)?jīng)用了一個(gè)具有欺騙性的Collab.Land釣魚(yú)頁(yè)面去攻擊MetaMask加密貨幣用戶。

DarkHotel組織長(zhǎng)期以來(lái)一直以中國(guó)用戶為攻擊目標(biāo)。2020年4月，該APT組織對(duì)中國(guó)虛擬私人網(wǎng)絡(luò)(VPN)服務(wù)提供商SangFor進(jìn)行了攻擊，該服務(wù)提供商被大量的機(jī)構(gòu)所使用。據(jù)報(bào)道，到該月第一周結(jié)束時(shí)，至少已經(jīng)有200個(gè)端點(diǎn)被入侵。

大約在同一時(shí)間，在COVID-19大流行開(kāi)始時(shí)，DarkHotel就以世界衛(wèi)生組織的系統(tǒng)為攻擊目標(biāo)。

像這樣的攻擊足以表明，存儲(chǔ)在酒店網(wǎng)絡(luò)中的數(shù)據(jù)對(duì)威脅者來(lái)說(shuō)是多么有吸引力。Trellix團(tuán)隊(duì)建議，酒店經(jīng)營(yíng)者應(yīng)該認(rèn)識(shí)到，網(wǎng)絡(luò)安全需要覆蓋到生活的各個(gè)方面。Trellix補(bǔ)充說(shuō)，旅行者同樣需要采取適當(dāng)?shù)陌踩A(yù)防措施。

報(bào)告說(shuō)，建議旅行者只攜帶有限的必要的設(shè)備，并且保持安全系統(tǒng)及時(shí)更新，在使用酒店Wi-Fi時(shí)盡量使用VPN服務(wù)。

本文翻譯自：https://threatpost.com/darkhotel-apt-wynn-macao-hotels/178989/