最近一个高级持续性威胁(APT)组织一直在对中国澳门的豪华酒店开展鱼叉式钓鱼攻击活动,其目的是为了破坏它们的网络设施并窃取那些住在度假村的有高知名度的客人的敏感数据。这些被攻击的酒店就包括了路环度假村和永利皇宫。
Trellix的一份威胁研究报告大致确定韩国的DarkHotel APT组织是这些攻击背后的罪魁祸首。
研究人员说,此次鱼叉式网络钓鱼攻击活动始于11月末,犯罪分子将一些载有恶意Excel宏文件的电子邮件发送到了可以访问酒店网络的管理层的邮箱中,其中就包括了人力资源和办公室经理。
在其中的一次攻击中,钓鱼邮件在12月7日发送到了17家不同的酒店中,并伪造该邮件是由澳门政府旅游局发出的,其攻击目的在于收集这些酒店所住用户的信息。这些邮件要求收件人打开一个标有 "旅客查询 "的Excel附件文件。
Trellix公司的威胁研究人员说,电子邮件的内容要求用户打开附件中的文件,并回信说明这些人是否住在酒店里?该邮件的署名是旅游局检查处。
报告说,Trellix大致能够将这些攻击归咎于DarkHotel组织,因为他们的指挥和控制服务器(C2)的IP地址以前曾与该组织有过联系;DarkHotel经常以酒店为攻击目标,并且在C2中发现的设置模式与已知的DarkHotel的活动模式非常相符。
Trellix团队说,我们目前对此还没有一个很高的确信度,因为这个IP地址在被公开曝光后仍然活跃了相当长的一段时间,而且该IP地址还进行了其他的与该威胁无关的网络攻击。这些观察结果使得我们在调查归因方面更加的谨慎。
Trellix团队解释说,用户一旦打开了该文件,这些恶意的宏代码就会与C2服务器建立联系,开始从酒店网络中渗透窃取数据。
Trellix在报告中补充说,进行恶意攻击的命令和控制服务器曾经试图冒充密克罗尼西亚联邦合法政府网站的域名。然而,真正的密克罗尼西亚网站域名是'fsmgov.org'。
Trellix团队说,他们怀疑攻击者只是在收集数据,以便日后进行利用。
Trellix研究人员报告说,在研究了目标酒店的活动议程后,我们确实发现了多个威胁行为者可能会感兴趣的会议,例如,一家酒店正在举办国际环境论坛和国际贸易与投资博览会,这两个活动都会吸引潜在的间谍活动攻击。
该团队说,鱼叉式网络钓鱼活动于1月18日停止。
也就是说,由于COVID-19的大流行取消或推迟了这些活动,这才给了执法部门时间去抓获嫌疑人。到2021年12月,澳门治安警察局收到了警察局网络安全事件警报和应急中心的通知,一个治安警察局官方网页的域名被用来传播恶意软件以及实施非法行为。
Trellix报告补充说,犯罪分子除了对酒店进行攻击以外,其他的犯罪活动都用了同一个C2 IP地址,据研究该C2可能是由DarkHotel所控制,他们曾经用了一个具有欺骗性的Collab.Land钓鱼页面去攻击MetaMask加密货币用户。
DarkHotel组织长期以来一直以中国用户为攻击目标。2020年4月,该APT组织对中国虚拟私人网络(VPN)服务提供商SangFor进行了攻击,该服务提供商被大量的机构所使用。据报道,到该月第一周结束时,至少已经有200个端点被入侵。
大约在同一时间,在COVID-19大流行开始时,DarkHotel就以世界卫生组织的系统为攻击目标。
像这样的攻击足以表明,存储在酒店网络中的数据对威胁者来说是多么有吸引力。Trellix团队建议,酒店经营者应该认识到,网络安全需要覆盖到生活的各个方面。Trellix补充说,旅行者同样需要采取适当的安全预防措施。
报告说,建议旅行者只携带有限的必要的设备,并且保持安全系统及时更新,在使用酒店Wi-Fi时尽量使用VPN服务。
参考及来源:https://threatpost.com/darkhotel-apt-wynn-macao-hotels/178989/
已完成
数据加载中