Hacking Team是一家向某些政府和执法机关销售“合法间谍软件”的企业
Hacking Team是一家向某些政府和执法机关销售“合法间谍软件”的企业。Hacking Team公司的一些文件发生公共泄露后,一些网络间谍组织已经开始使用这些泄露的文件实施恶意攻击,而这些文件本来是Hacking Team提供给客户用来发动攻击所使用的。泄露的文件中包括多个针对Adobe Flash Player和Windows操作系统的漏洞利用程序。其中至少有一个漏洞利用程序已经被强大的网络攻击组织“Darkhotel”用来执行其它目的。
卡巴斯基实验室安全专家于2014年发现了一个名为“Darkhotel”的精英间谍攻击组织,该组织会通过入侵豪华酒店的Wi-Fi网络,攻击企业高管。最近,卡巴斯基实验室发现“Darkhotel”从七月初开始,也就是Hacking Team文件在7月5日泄露后不久,就在使用Hacking Team泄露的零日漏洞进行攻击。而据我们所知,Darkhotel并不是Hacking Team公司的客户,所以Darkhotel应该是在这些文件被公开之后获取到的。
这并不是该攻击组织所使用的唯一一个零日漏洞,卡巴斯基实验室估计在过去几年中,该攻击组织使用的针对Adobe Flash Player的零日漏洞有六个或更多。很明显,Darkhotel在壮大其攻击能力方面投入巨大。2015年,Darkhotel继续在全球范围内扩展其影响,并且还在朝鲜、韩国、俄罗斯、日本、孟加拉、泰国、印度、莫桑比克和德国对目标继续进行鱼叉式钓鱼攻击。
从Hacking Team得到了间接帮助
Darkhotel是一个知名的高级可持续性威胁(APT),其活跃期已经近八年。最近,卡巴斯基实验室的安全研究人员发现该攻击组织采用了新的攻击手段,并且有新的动向。在2014年以及更早的攻击中,Darkhotel攻击组织使用窃取到的证书以及不寻常的攻击手段(例如入侵酒店的Wi-Fi网络)在受攻击者的系统上植入间谍工具。2015年,该攻击组织仍然在使用这些攻击技巧和行动,但是卡巴斯基实验室还发现了一种新的恶意可执行文件变种,更多的被盗数字证书,社交工程技巧,同时还部署了来自Hacking Team的零日漏洞:
- 继续使用被盗数字证书:Darkhotel攻击组织似乎储备有大量被盗证书,并使用这些证书对其下载器和后门程序进行数字签名,欺骗被攻击系统。其中包括一些最近被废除的证书,例如Xuchang Hongguang Technology Co. Ltd公司的数字证书。而早在之前的攻击中,Darkhotel就使用过这家公司的数字证书。
- 不懈的鱼叉式钓鱼攻击:Darkhotel攻击非常执着和持久。攻击者会试图利用鱼叉式钓鱼攻击感染目标。如果当时不成功,攻击者会过几个月后再次尝试,并且使用几乎一样的社交工程技巧进行攻击。
- 部署Hacking Team的零日漏洞利用程序:受感染网站tisone360.com包含一系列后门程序和漏洞利用程序。有趣的是,这些漏洞利用程序来自Hacking Team的Flash零日漏洞。
“Darkhotel再度来袭,并且又使用了一种新的Adobe Flash Player漏洞利用程序,将其置于一个被感染的网站上。不仅如此,这次他们所使用的漏洞利用程序似乎来自Hacking Team所泄露的零日漏洞。该攻击组织曾经在同样的网站上,使用过另一种不同的Flash漏洞利用程序,我们在2014年1月将其上报为一种Adobe零日漏洞。Darkhotel在过去几年中,使用了多种Flash零日漏洞和半日漏洞。所以,该攻击组织可能储备了很多漏洞,用于针对高级别的目标进行全球范围内的精准攻击。根据以往的攻击,我们知道Darkhotel主要攻击企业CEO、高级副总裁、销售和市场总监以及高级研发人员,”卡巴斯基实验室首席安全研究员Kurt Baumgartner说。
从去年开始,这一攻击组织就想尽办法增强其防御措施。例如,扩展其反检测技术列表。2015年版本的Darkhotel下载器能够识别来自27家安全厂商的反病毒技术,并试图绕过这些安全产品的检测。
卡巴斯基实验室产品能够成功检测和拦截Darkhotel恶意组件,将其检测为Trojan.Win32.Darkhotel and Trojan-Dropper.Win32.Dapato.
想要了解更多详情,请访问Securelist.com。
关于如何应对APT,请参阅“How to mitigate 85% of all targeted attacks using 4 simple strategies”.
