Darkhotel APT组织针对高管团队提出“长期作战目标”

        APT组织正倾向于成为一个具有恶意企图和相似目标的庞大但无定型的组织，但并不是所有的APT团队都被公平地对待。研究员已经发现其中一个组织至少在亚洲进行了7年的黑客操作，他们一直使用酒店的网络来感染制造业、国防、投资业、私募股权投资、汽车等行业目标公司的高管。卡巴斯基实验室的研究人员将这个组织称为Darkhotel，他们已经访问到了零日漏洞并进行了漏洞挖掘，而且表明会在发现零日漏洞情况下使用它们。这个组织使用的其中一个零日漏洞是今年2月份公布的一个Flash漏洞。

        “这些攻击者偶尔部署了0-day的开发，但在需要的时候会销毁它。在过去几年里，他们部署了0-day鱼叉式网络钓鱼攻击来针对Adobe产品和微软IE的浏览器，包括cve-2010-0188。在2014年早期，我们的研究者披露他们使用过cve-2014-0497。Flash的0-day漏洞在2月初的安全名单上被例举了出来。”Darkhotel组织声称，“研究人员使用鱼叉式网络钓鱼攻击了一组通过中国的ISPS连接到互联网的目标系统。开发了0-day利用能力去处理硬化Windows 8.1系统。有意思的是，flash对象嵌入在韩国文档里，标题却是‘列举日本最新流行的AV风以及如何进行下载’”

        Darkhotel组织的黑客操作主要是在亚洲国家，但是在美国，韩国，新加坡，德国，爱尔兰等国家也被报道出来。这个组织最主要的感染方式就是：当用户连接到网络，就会弹出一个对话框提示他们安装一个假的更新软件，那些软件通常看起来像是合法的东西，比如Adobe Flash。如果受害者同意安装这个假的更新软件，他就会收到由攻击者提供的带有数字签名的恶意软件。这个恶意软件带有键盘记录和其他一些功能，可以窃取用户信息，然后再反馈给攻击者。

        “当不知情的用户，包括企业高管和高科技行业的企业家，他们去各种各样的酒店，在连接互联网之后，网络就被伪装成任何一个主要软件的木马所感染。攻击者在看到高管连接到受感染的网络之后，将木马跟随用户的下载文件安装到设备上，假装是某款受信任应用（比如Google Toolbar, Adobe Flash或者WindowsMessenger）的更新在用户设备上植入后门，然后设备就会感染。恶意软件的第一个阶段帮助攻击者识别重要的攻击目标，从而选择性地下载更高级别的盗窃工具。”报道声称，“在酒店里，这些软件选择性地被分发到目标个体。这个组织的攻击者似乎提前知道这些人什么时候到或者离开他们的酒店。所以攻击者只需坐等这些旅行者的到来，然后进行互联网连接。”

        Darkhotel组织的基础设施包括访问到记录客人登记信息的一些酒店的系统。这就允许攻击者将到达受入侵酒店的客人作为攻击目标。但不是每一个联网的用户安装假的更新程序会导致安装恶意软件。相反，攻击者会挑选哪些客人值得跟踪，他们会追求高价值的攻击目标。除此之外，Darkhotel攻击者会使用各种各样的数字证书去标注他们的恶意软件，攻击者经常以这种方式使用偷来的凭证。但Darkhotel似乎采取了不同的策略，他们复制较弱密钥的合法证书。

        “所有相关情况下签署的Darkhotel恶意软件共享了相同的根证书颁发机构。中级证书颁发机构颁发安全性较弱的MD5密钥证书（RSA 512位）。我们可以确信的是Darkhotel的威胁者欺诈性地复制这些证书来签署恶意软件，而这些密钥并没有被窃取。”报道声称。在2011年，微软撤销信任由DigiCert Sdn颁发的512位密钥证书。Bdh，一个马来西亚证书颁发机构，警告说安全性较弱的密钥可以使攻击者破坏密钥并复制证书。这似乎是Darkhotel做的事情，通过复制这些证书来实施他们的恶意活动。

        “攻击者滥用安全性较弱的数字证书来签署恶意代码。他们以这种方式取得了至少10个CA认证。最近他们窃取并再次使用了其他一些合法证书来签署他们的大部分静态后门和infostealer工具箱。他们的基础设施随着时间的变化增加或减少，并没有设置一致的模式。它既保护了灵活的数据加密，又保护了安全性较弱的密钥。”卡巴斯基实验室最好的团队在对攻击的解释中写到。