卡巴斯基新发现：“黑暗酒店”网络间谍组织再度来袭

32014

卡巴斯基实验室发现“黑暗酒店”网络间谍组织从七月初开始，也就是Hacking Team文件在7月5日泄露后不久，就使用HackingTeam泄露的零日漏洞进行攻击。尽管从去年开始，这一攻击组织就想尽办法增强其防御措施。例如，扩展其反检测技术列表。2015年版本的“黑暗酒店”下载器能够识别来自27家安全厂商的反病毒技术，并试图绕过这些安全产品的检测。卡巴斯基实验室针对个人与企业用户的产品能够成功检测和拦截“黑暗酒店”恶意组件，并已将其检测为Trojan.Win32.Darkhotel and Trojan-Dropper.Win32.Dapato。

据了解，Hacking Team是一家向某些政府和执法机关销售“合法间谍软件”的企业。Hacking Team公司的文件发生泄露后，一些网络间谍组织已经开始使用这些泄露的文件实施恶意攻击，而这些文件原本就是Hacking Team提供给客户用以发动攻击使用的。泄露的文件中包括多个针对AdobeFlash Player和Windows操作系统的漏洞利用程序。其中至少有一个漏洞利用程序已经被强大的网络攻击组织“黑暗酒店”用以执行其它目的。

卡巴斯基实验室安全专家于2014年便发现了一个名为“黑暗酒店”的精英间谍攻击组织，该组织会通过入侵豪华酒店的Wi-Fi网络，攻击企业高管，窃取资料。而且Darkhotel并不是Hacking Team公司的客户，所以“黑暗酒店”应该是在这些文件被公开之后获取到的。

此外，这并不是该攻击组织所使用的唯一的零日漏洞。卡巴斯基实验室估计在过去几年中，该攻击组织使用的针对AdobeFlash Player的零日漏洞至少有六个之多。显而易见，“黑暗酒店”在壮大其攻击能力方面投入巨大。2015年，“黑暗酒店”继续在全球范围内扩展其影响，并且还在朝鲜、韩国、俄罗斯、日本、孟加拉、泰国、印度、莫桑比克和德国对目标继续进行鱼叉式钓鱼攻击。

作为一个活跃了近八年时间的知名的APT（高级可持续性威胁）攻击组织，“黑暗酒店”在近期采用了新的攻击手段，并且有新的动向。卡巴斯基实验室的调查发现，在2014年以及更早的攻击中，“黑暗酒店”攻击组织使用窃取到的证书以及不寻常的攻击手段（例如入侵酒店的Wi-Fi网络）在受攻击者的系统上植入间谍工具。2015年，该攻击组织仍然在使用这些攻击技巧和行动。但是，卡巴斯基实验室还发现了一种新的恶意可执行文件变种、更多的被盗数字证书以及社交工程技巧，同时该组织还部署了来自Hacking Team的零日漏洞：

•继续使用被盗数字证书：“黑暗酒店”攻击组织似乎储备有大量被盗证书，并使用这些证书对其下载器和后门程序进行数字签名，欺骗被攻击系统。其中包括一些最近被废除的证书，例如XuchangHongguang Technology Co. Ltd公司的数字证书。而早在之前的攻击中，“黑暗酒店”就使用过这家公司的数字证书。

•不懈的鱼叉式钓鱼攻击：“黑暗酒店”攻击非常执着和持久。攻击者会试图利用鱼叉式钓鱼攻击感染目标。如果当时不成功，攻击者会过几个月后再次尝试，并且使用几乎一样的社交工程技巧进行攻击。

•部署Hacking Team的零日漏洞利用程序：受感染网站tisone360.com包含一系列后门程序和漏洞利用程序。而这些漏洞利用程序来自Hacking Team的Flash零日漏洞。

对于此次重大发现，卡巴斯基实验室首席安全研究员KurtBaumgartner表示：“‘黑暗酒店’再度来袭，并且又使用了一种新的Adobe Flash Player漏洞利用程序，将其置于一个被感染的网站上。不仅如此，这次他们所使用的漏洞利用程序似乎来自Hacking Team所泄露的零日漏洞。该攻击组织曾经在同样的网站上，使用过另一种不同的Flash漏洞利用程序，我们在2014年1月将其上报为一种Adobe零日漏洞。‘黑暗酒店’在过去几年中，使用了多种Flash零日漏洞和半日漏洞。所以，该攻击组织可能储备了很多漏洞，用于针对高级别的目标进行全球范围内的精准攻击。根据以往的攻击，我们知道‘黑暗酒店’主要攻击企业CEO、高级副总裁、销售和市场总监以及高级研发人员。”