一个有着7年历史的网络间谍战最近瞄准了全球的大公司的高级主管,当这些高级主管公差出行住在高档酒店的时候,他们的信息就被那些精心设计的0day和键盘记录器窃取了。

 

来自莫斯科的卡巴斯基安全研究员把这种有能力知道目标主管何时入住,何时退房的APT威胁,命名为 "黑暗旅馆APT”。

 

这个团体自从2009以业就在亚州区域活动,但也有迹象表明在美国,韩国,新加坡,德国,爱尔兰,和其他等地出现。它通过旅馆的无线网络来瞄准那些在制造业、国防、投资资本、私人股本、汽车等行业的精英主管们。

 

卡巴斯基的报告里指出,这个团队有能力接触到一个0 day 漏洞,并且使用它们感染受害者,而且通过了三种恶意的分发方式,包括恶意的Wifi,设为后门的torrent种子,还有高度定制的钓鱼网站。

DarkHotel-Malware

 

 

 

 

 

 

 

 

 

当指定的高级主管们连到酒店的wifi 或者有线网时,他们会看到一个伪造的,并且看起来很合理的提醒,比如Adobe Flash 更新,Google Toolbal 或者 Windows Messenger 更新,但是这些更新包含许多恶意软件。

 

安全研究员在周一发表的报告里指出,当这些高级主管们到各式各样的旅馆入住,并且连上网络里,他们就被稀有的APT 木马感染了。第一阶段的恶意软件帮助攻击者下载后续更多的窃取工具。

 

在旅馆里,这些安装工具对于指定的目标安装指定的工具。这个团队里的攻击者们好像提前这些指定的目标何时会到达,所以这些攻击一直潜伏,直到目标到达并且连到网络。

 

当木马入侵之后就会安装各种各样的键盘记录器并且会记录受害者的键盘记录和浏览器的密码,以及一些商业机密。

 

另外,这个黑暗旅馆团体有能力通过破解私钥来重新生成512位的md5达到操作可信的证书的目的,已被证实的弱密钥的公司包括Fox-IT, Microsoft, Mozilla

 

卡巴斯基在周一的报告里声称所有与黑暗旅馆恶意软件都共享同一个根证书,而且这些证书的密钥都是弱密钥.”我们确信黑暗旅馆团队可以通过这些证书伪造签名,而这些私钥没有被窃取。

 

黑暗旅馆团队最近也窃取了第三方的一些证书用来对恶意的软件进行签名。

 

为了保护您的设备,最简单的方式就是避免连接到旅馆wifi以及任何公开的不可信的网络,最好使用您的手机作为个人热点来连接到网络。

 

【参考来源:http://thehackernews.com/2014/11/darkhotel-apt-malware-targets-global.html 翻译:wcc】

源链接

Hacking more

...