DarkHotel APT 再次回归，利用新技术针对朝鲜政府雇员开展间谍活动

据安全公司 Bitdefender 最新消息，DarkHotel APT 组织再次回归并以新型技术针对朝鲜政府雇员开展间谍活动。研究人员认为 DarkHotel APT 成员主要是韩国人，目前在朝鲜、俄罗斯、韩国、日本、孟加拉国、泰国、台湾、中国、美国、印度等多个国家均有其受害者。

2014 年 11 月，卡巴斯基实验室首次发现了 Darkhotel APT 间谍活动，该组织主要针对出国旅游的公司高管。研究人员注意到这一组织只会针对目标入侵一次，绝不重复行动，此前目标包括来自美国和亚洲的首席执行官、高级副总裁、顶尖研发工程师、销售和营销主管等。

调查显示，DarkHotel APT 黑客利用多种方式攻击目标系统，并将其用作攻击点对点（P2P）文件共享网站和酒店 Wi-Fi。而近期，Darkhotel APT 被发现利用此前意大利黑客公司 Hacking Team 泄露的漏洞尝试新型攻击方法。

DarkHotel APT 最近一次行动中通过被称为“ Inexsmar ” 的攻击手段，对政治人物进行了针对性入侵。“这种攻击使用新的 payload 传递机制而非完整的 0-day 开发技术，并以社会工程学与相对复杂的木马混合感染其选定的受害者群体”。通过网络钓鱼邮件传播木马下载程序，恶意代码则用于收集受感染设备上的信息，并将其发送回攻击者服务器。若受感染的系统满足特定要求，则会被伪装成 OpenSSL 组件的第一级下载器取回。在这个阶段，恶意代码打开了一个题为“平壤电子邮件列表 – 2016 年 9 月”的文件，其中包含平壤各组织的电子邮件联系人。如果要求不满足则攻击停止，否则传送另一个 payload。

不幸的是，在调查时由于 C＆C 服务器处于脱机状态，研究人员无法收集有关攻击的进一步细节。与利用漏洞相比，多级下载器的使用意味着技术上的重要改进，因为它能够允许攻击者进一步优化恶意软件的分发和更新。

from hackernews.cc.thanks for it.