Hosté luxusních hotelů jako cíle kyberzločinců

7. 8. 2017 v sekci Článek

Útočníci ze skupiny DarkHotel jsou činní už více než deset let. Jejich typickým cílem byli v minulosti návštěvníci luxusních hotelů po celém světě. Ke svým nelegálním aktivitám využívali hotelové Wi-Fi hotspoty a zaměřovali se na vybraný okruh uživatelů. Jak přesně se útočníkům podařilo kompromitovat hotspoty nebylo s jistotou objasněno.

Skupina využívala důmyslný systém útoků a své taktiky i malwary neustále aktualizovala. Mezi praktiky DarkHotelu patřil phishing, sociální inženýrství, backdoory, trojské koně a další metody, které pomáhaly proniknout zejména k vysoce postaveným byznysmenům.

Analytici z Bitdefenderu nyní spojují s DarkHotelem také novou kampaň Inexsmar, která je využívána k útokům na politické cíle.

Inexsmar útoky začínají e-mailovým phishingem, který je přesně zacílený. Tato část kampaně je podle odborníků na bezpečnost skutečně precizní a odhalit ji je prakticky nemožné i pro zkušenější uživatele. Podle povahy zachycených phishingových e-mailů cílí útočníci na vládní a politické cíle. S e-mailem je doručován také samorozbalovací archiv, který je pojmenován například winword.exe. Po jeho spuštění dochází ke stahování dalšího škodlivého obsahu. K zamaskování slouží spuštění dokumentu pojmenovaného Pyongyang Directory Group email SEPTEMBER 2016 RC_Office_Coordination_Associate.docx, který mimo jiné pojednává o kyberútocích. Dalším maskovacím manévrem je stahování malwaru po částech, což je opět typický postup skupiny DarkHotel. V první fázi downloader dokonce schovává škodlivý kód do jinak zcela legitimního binárního OpenSSL statickým prolinkováním s nijak nesouvisejícími kódy knihovny.

Následně malware spustí mshta.exe (umožňuje spouštění .HTA souborů) a dojde ke stažení druhé části malwaru. Víceúrovňové stahování škodlivých kódů je reakcí na stále se vyvíjející a dokonalejší detekční nástroje.

Skupina DarkHotel pracuje na vysoké úrovni, škodlivý kód se jí daří skrývat pod mnoha vrstvami ochrany. Skupina nezanechává příliš stop, ale povaha útoků a typ obětí naznačuje, že by mohlo jít o útoky na státní objednávku.

Zdroj: ZDNet






Tento web používá cookies. Více informací ROZUMÍM