卡巴斯基实验室发现“黑暗酒店”网络间谍组织从七月初开始,也就是Hacking Team文件在7月5日泄露后不久,就使用HackingTeam泄露的零日漏洞进行攻击。尽管从去年开始,这一攻击组织就想尽办法增强其防御措施。例如,扩展其反检测技术列表。2015年版本的“黑暗酒店”下载器能够识别来自27家安全厂商的反病毒技术,并试图绕过这些安全产品的检测。卡巴斯基实验室针对个人与企业用户的产品能够成功检测和拦截“黑暗酒店”恶意组件,并已将其检测为Trojan.Win32.Darkhotel and Trojan-Dropper.Win32.Dapato。
据了解,Hacking Team是一家向某些政府和执法机关销售“合法间谍软件”的企业。Hacking Team公司的文件发生泄露后,一些网络间谍组织已经开始使用这些泄露的文件实施恶意攻击,而这些文件原本就是Hacking Team提供给客户用以发动攻击使用的。泄露的文件中包括多个针对AdobeFlash Player和Windows操作系统的漏洞利用程序。其中至少有一个漏洞利用程序已经被强大的网络攻击组织“黑暗酒店”用以执行其它目的。
卡巴斯基实验室安全专家于2014年便发现了一个名为“黑暗酒店”的精英间谍攻击组织,该组织会通过入侵豪华酒店的Wi-Fi网络,攻击企业高管,窃取资料。而且Darkhotel并不是Hacking Team公司的客户,所以“黑暗酒店”应该是在这些文件被公开之后获取到的。
此外,这并不是该攻击组织所使用的唯一的零日漏洞。卡巴斯基实验室估计在过去几年中,该攻击组织使用的针对AdobeFlash Player的零日漏洞至少有六个之多。显而易见,“黑暗酒店”在壮大其攻击能力方面投入巨大。2015年,“黑暗酒店”继续在全球范围内扩展其影响,并且还在朝鲜、韩国、俄罗斯、日本、孟加拉、泰国、印度、莫桑比克和德国对目标继续进行鱼叉式钓鱼攻击。
作为一个活跃了近八年时间的知名的APT(高级可持续性威胁)攻击组织,“黑暗酒店”在近期采用了新的攻击手段,并且有新的动向。卡巴斯基实验室的调查发现,在2014年以及更早的攻击中,“黑暗酒店”攻击组织使用窃取到的证书以及不寻常的攻击手段(例如入侵酒店的Wi-Fi网络)在受攻击者的系统上植入间谍工具。2015年,该攻击组织仍然在使用这些攻击技巧和行动。但是,卡巴斯基实验室还发现了一种新的恶意可执行文件变种、更多的被盗数字证书以及社交工程技巧,同时该组织还部署了来自Hacking Team的零日漏洞:
继续使用被盗数字证书:“黑暗酒店”攻击组织似乎储备有大量被盗证书,并使用这些证书对其下载器和后门程序进行数字签名,欺骗被攻击系统。其中包括一些最近被废除的证书,例如XuchangHongguang Technology Co. Ltd公司的数字证书。而早在之前的攻击中,“黑暗酒店”就使用过这家公司的数字证书。
不懈的鱼叉式钓鱼攻击:“黑暗酒店”攻击非常执着和持久。攻击者会试图利用鱼叉式钓鱼攻击感染目标。如果当时不成功,攻击者会过几个月后再次尝试,并且使用几乎一样的社交工程技巧进行攻击。
部署Hacking Team的零日漏洞利用程序:受感染网站tisone360.com包含一系列后门程序和漏洞利用程序。而这些漏洞利用程序来自Hacking Team的Flash零日漏洞。
对于此次重大发现,卡巴斯基实验室首席安全研究员KurtBaumgartner表示:“‘黑暗酒店’再度来袭,并且又使用了一种新的Adobe Flash Player漏洞利用程序,将其置于一个被感染的网站上。不仅如此,这次他们所使用的漏洞利用程序似乎来自Hacking Team所泄露的零日漏洞。该攻击组织曾经在同样的网站上,使用过另一种不同的Flash漏洞利用程序,我们在2014年1月将其上报为一种Adobe零日漏洞。‘黑暗酒店’在过去几年中,使用了多种Flash零日漏洞和半日漏洞。所以,该攻击组织可能储备了很多漏洞,用于针对高级别的目标进行全球范围内的精准攻击。根据以往的攻击,我们知道‘黑暗酒店’主要攻击企业CEO、高级副总裁、销售和市场总监以及高级研发人员。”
