近年來,隨著數(shù)據價值的突顯,不法黑客逐漸瞄準政府機構和重要行業(yè)發(fā)起APT攻擊。此前,騰訊智慧安全御見威脅情報中心曾曝光出持續(xù)針對高端商務人士、重要人士實施精準攻擊的APT組織——DarkHotel(黑店)。近期,該中心再次發(fā)現(xiàn)DarkHotel(黑店)APT組織針對東北亞相關人物或要害部門的APT攻擊。目前,盡管暫未發(fā)現(xiàn)該木馬在國內活動,但騰訊電腦管家提醒廣大用戶和相關機構,仍需做好網絡安全相關防御工作。
據了解,DarkHotel(黑店)APT組織的攻擊目標是入住高端酒店的商務人士或有關部門重要人士,攻擊入口是酒店WiFi網絡,當目標用戶接入酒店WiFi時便會遭遇攻擊。該組織技術實力深厚,曾在多次攻擊行動中使用0day進行攻擊,比如今年新曝光的CVE-2018-8174、CVE-2018-8373等。騰訊智慧安全御見威脅情報中心對其SYSCON/SANNY后門程序進行長期跟蹤后發(fā)現(xiàn),該后門一直以來使用FTP協(xié)議進行C&C通信,并且有很強的躲避技術和繞UAC技術,而最新版本的后門采用了多階段執(zhí)行、云控、繞最新UAC等技術,使得攻擊更加隱蔽和難以發(fā)現(xiàn)。
分析顯示,在新的攻擊活動中,該組織依然采用了最常見的魚叉攻擊方式,攻擊的誘餌有兩個,均與東北亞問題相關。在攻擊載體的選擇上,該組織選取傳統(tǒng)的Word文件,通過在Word文檔中嵌入惡意宏代碼來實現(xiàn)攻擊。為了誘使用戶啟用宏,特意將字體修改成非常淺的顏色導致用戶無法閱讀,而用戶啟用宏以后才會顯示為方便閱讀的黑色。
與以往的攻擊相比,本次攻擊的大部分代碼被放到云端,在VBA腳本中只保留非常簡單的幾行代碼,云控化的安裝過程使得木馬的傳播和感染過程靈活可控。同時,CAB壓縮包文件也被分為兩個存放在云端,由bat腳本判斷本地系統(tǒng)后按需進行下載。此外,通過對比發(fā)現(xiàn),SYSCON后門與另一款針對東北亞重要人士攻擊的KONNI后門有著非常大的相同點,因此騰訊安全技術專家判斷,這兩款后門,屬于一個攻擊組織。
(騰訊智慧安全御界高級威脅檢測系統(tǒng))
對此,騰訊電腦管家安全專家、騰訊安全反病毒實驗室負責人馬勁松提醒廣大用戶,建議用戶不要打開來源不明的郵件附件,謹慎連接公用的Wi-Fi網絡進行軟件升級等操作,若必須連接公用Wi-Fi網絡,盡量避免進行可能泄露機密信息或隱私信息的操作,如收發(fā)郵件、IM通信、銀行轉賬等;同時建議政府及企業(yè)用戶選擇使用騰訊智慧安全御界高級威脅檢測系統(tǒng),通過“御界防APT郵件網關”,解決惡意郵件的攻擊威脅,切實保護好企業(yè)自身的網絡安全。
免責聲明:本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網站出現(xiàn)的信息,均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時,應及時向本網站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后,將會依法盡快聯(lián)系相關文章源頭核實,溝通刪除相關內容或斷開相關鏈接。