病毒定义
病毒类型: 恶意软件、高级持续性威胁 (APT)
什么是 Darkhotel 威胁?
卡巴斯基实验室的全球研究与分析团队对名为“Darkhotel”的最新病毒威胁攻击进行了分析。Darkhotel 威胁看起来类似于鱼叉式网络钓鱼和危险恶意软件的结合体,其设计目的是获取机密数据。
Darkhotel 背后的网络罪犯已活跃了近十年,其目标涉及全球各地数以千计的受害者。在我们已发现的 Darkhotel 感染中,90% 发生在日本、中国台湾、中国大陆、俄罗斯以及韩国,但在德国、美国、印尼、印度和爱尔兰也同样发现了感染案例
病毒威胁详情
Darkhotel 威胁的作用机制?
该活动的不寻常之处,在于它会采用不同程度的恶意攻击。
(1) 鱼叉式网络钓鱼
一方面,它们使用鱼叉式网络钓鱼电子邮件来渗入国防工业基地 (DIB)、政府、非政府组织、大型电子产品与外围设备制造商、制药公司、医疗服务提供商、与军事相关的组织以及能源政策制定方。这些攻击采用标准的鱼叉式网络钓鱼方法来植入经过彻底伪装的 Darkhotel。作为诱饵的电子邮件内容通常包括类似核能和武器能力等主题。在过去几年中,这些鱼叉式网络钓鱼电子邮件中,出现过包含利用 Adobe 零日漏洞的附件,也出现过将目标浏览器重定向到利用 Internet Explorer 零日漏洞的链接。它们的目的都是从上述组织中窃取数据。
(2) 恶意软件的投放
另一方面,它们通过日本 P2P(点对点)文件共享网站不加选择地传播恶意软件。该恶意软件是作为一个较大 RAR 压缩存档的一部分来投放的,该压缩存档假称提供性内容,但实际上会安装一个用于从受害者收集机密数据的后门木马。
(3) 感染
在采用这种介于前述两者之间的手法时,他们会将目标瞄准那些在海外出差、并住在酒店中的毫无戒心的高管。这部分受害者会受到一种罕见木马的感染,这些木马会伪装成包括 Google Toolbar、Adobe Flash 和 Windows Messenger 在内的几大主要软件之一的发布内容。完成上述第一阶段的感染后,攻击者会利用该木马感染找出符合他们要求的受害者,然后进一步将设计用于从受害者的计算机上盗取机密数据的恶意软件下载到较重要受害者的计算机上。
据恶意代码中的一个字符串表明,该威胁最初似乎源自一个韩国的攻击发起者。
Darkhotel 有何重要性?
尽管有很多定向攻击在技术上都很复杂,但它们通常都会通过诱骗个别员工进行一些危及公司安全的事情来开始攻击。担任面向公众的职务的职员(如,高管、销售和营销人员)尤其容易受到攻击,这主要是因为他们经常到处奔走,并有可能使用不受信任的网络(比如,酒店内的网络)来连接到公司网络。
Darkhotel 活动的特点
- 这些定向攻击专门针对 C 级高管受害者:首席执行官、高级副总裁、销售和市场营销总监以及最高层的研发人员
- 该团伙的攻击方式同时包括了定向攻击和僵尸网络式操作。他们会侵入酒店网络,然后从这些网络对选定的受关注度较高的受害者发起攻击。与此同时,他们还会使用僵尸网络式操作进行大规模监视或执行其他任务,比如 DDoS(分布式拒绝服务)攻击、或者在他们特别感兴趣的受害者计算机上安装更加复杂的间谍工具。
- 在攻击中利用 Internet Explorer 和 Adobe 产品的零日漏洞。
- 使用高级的底层键盘记录器来盗取机密数据。
- 使用窃取的数字证书为恶意代码进行签名。
- 持续性活动 – Darkhotel 已活跃近十年。
如何防御 Darkhotel 攻击?
尽管要实现全方位防御还很有挑战性,但您可以通过以下这些建议,在出行过程中保持安全。
- 如果您打算访问公共或半公共 Wi-Fi,确保仅使用受信任的 VPN 通道
- 了解鱼叉式网络钓鱼攻击的作用机制
- 维护和更新所有系统软件
- 始终验证可执行文件,并以谨慎、怀疑的态度对待通过 P2P 网络共享的文件
- 出行在外时,试着限制软件更新
- 安装高质量的互联网安全软件:确保它包含针对新威胁的主动防御功能,而不是只有基本的反病毒保护
