Darkhotel(黑店)是有著東亞背景,長期針對企業高管、政府機構、國防工業、電子工業等重要機構實施網路間諜攻擊活動的APT組織,其足跡遍布中國、朝鮮、日本、緬甸、俄羅斯等國家。
Darkhotel主要以針對性的魚叉式間諜軟體和惡意軟體傳播活動,通過酒店內部的WiFi網路有選擇地攻擊商務酒店訪客,特點是卡巴斯基實驗室作為一種先進的持續威脅,其主要攻擊專門針對高級公司高管,使用偽造的數字證書(通過將真實證書的底層弱公共密鑰分解)生成,以使受害者說服提示軟體下載有效。
基本介紹
- 中文名:黑店
- 外文名:Darkhotel
- 別名:APT-C-06
- 技術名稱:Troj/Tapaoux-AD
- 類別:病毒和間諜軟體
- 類型:木馬
- 檔案類型:Windows執行檔
組織介紹,攻擊流程,攻擊範圍,入侵事件,
組織介紹
Darkhotel是老牌APT黑客組織,主要以針對性的魚叉式間諜軟體和惡意軟體傳播活動。
攻擊流程
Darkhotel攻擊者將惡意代碼上傳到酒店伺服器,能夠針對主要在亞洲和美國的豪華酒店中作為訪客的特定用戶,自2007年以來,名為DarkHotel或Tapaoux的組織也一直通過魚叉式網路釣魚和對等網路積極感染用戶,並使用這些攻擊將關鍵日誌記錄和反向工程工具載入到受感染的端點上。
目標主要針對投資和開發的高管,政府機構,國防工業,電子製造商和能源政策制定者,許多受害者位於韓國,中國,俄羅斯和日本。
Darkhotel除了污染p2p網路以感染大眾外,還授權證書頒發機構合法化以進一步發動攻擊。濫用實施不力的數字證書來簽名其惡意代碼,參與者以此方式濫用了至少十個CA的信任,竊取並重新使用其他合法證書來簽署其大多為靜態的後門和信息竊取工具集,Darkhotel的基礎架構會隨著時間的推移而增長和收縮,並且沒有一致的設定模式,既受到靈活的數據加密保護,又受到功能薄弱的防禦。
攻擊流程
攻擊範圍
- 大型電子製造業
- 投資資本和私募股權
- 醫藥品
- 化妝品和化學品製造的離岸銷售
- 汽車製造商離岸服務
- 汽車組裝,分銷,銷售和服務
- 國防工業基地
- 執法和軍事服務
- 非政府組織
受害國家包括(日本、中國、俄羅斯和韓國)
入侵事件
2008年以來,感染人數達到了數千,目標包括來自美國和亞洲的高級管理人員在亞太地區開展業務和投資業,卡巴斯基安全網路(KSN)檢測與命令和控制數據相結合,記錄了美國,阿拉伯聯合酋長國,新加坡,哈薩克斯坦,韓國,菲律賓,中國香港,印度,印度尼西亞,德國,愛爾蘭,墨西哥,比利時,塞爾維亞,黎巴嫩,巴基斯坦,希臘,義大利等,該行動者的受害人地理位置分布廣泛,有多個重要目標,受害人在這些國家中的許多地方經常旅行。
2020年,安天在《Darkhotel組織滲透隔離網路的Ramsay組件分析》報告中,披露了Darkhotel組織對中國的APT攻擊活動技術細節。奇安信發布《提菩行動:來自南亞APT組織“魔羅桫”的報復性定向攻擊》等。
