世界的な高度な脅威グループである DarkHotel は、盗まれた Hacking Team のデータから借用した Adobe Flash の脆弱性を詰め込んだ旧式の HTML アプリケーションを使用して、スーツを着た人々をターゲットにしています。
これらの脆弱性は7月のHacking Teamによる攻撃後、すぐに修正されましたが、DarkHotelは修正が公開される前からこれらの脆弱性を狙っていたようです。このグループは、HTMLアプリケーション(.hta)を標的とし、バングラデシュ、北朝鮮、ドイツなど少なくとも9カ国の企業幹部を攻撃しています。
カスペルスキーの研究者らは、このグループは侵入を成功させるために、何カ月もかけて「特定のターゲットに対して執拗にスピアフィッシング攻撃」を行うだろうと述べている。
「DarkHotelの高度持続的脅威グループは、以前のボットネットの構築やホテルのWi-Fi攻撃よりも地理的に広範囲に及ぶ範囲で、世界中でスピアフィッシングを続けている」と研究者らは述べている。
「標的の一部は外交的なものであったり、戦略的な商業的利益を持つものであったりする。
「[HTA] コードにより、 internet_explorer_Smart_recovery.exe (マルウェア ダウンローダー)が実行されます。」
昨年末に明らかになったハッキンググループは、ホテルのネットワークに拠点を築き、そこから公共Wi-Fi経由で幹部を攻撃することで知られている。
DarkHotel 攻撃チェーン。
同社は、約 15 年前に初めて使用され、Hacking Team の Flash の脆弱性を悪用した旧式の悪質な HTA アプリケーション ダウンローダーの使用など、いくつかの定評のあるフィッシング トリックを手口に加えました。
カスペルスキーの専門家によると、このグループは成熟し、防御力の高いユーザーへの攻撃に長けているという。そのため、盗んだ証明書を蓄積し、マルウェアを多層暗号化の背後に隠し、アンチウイルスプログラムを特定するための対抗分析技術を駆使していると考えられている。
他にも、名前が明かされていない中国の攻撃者が、Hacking Team の Flash の脆弱性を攻撃に利用していることが判明している。
MalwareBytes の研究員 Jerome Segura 氏によると、ある怠惰なグループは Hacking Team のエクスプロイトをそのままコピーし、中国政府の所有物と思われるものを含む侵害された Web サイトで使用していたという。
「中国のウェブサイトで特定の攻撃を発見しました。犯人はHackingTeamのエクスプロイトコードを文字通りコピーして貼り付け、デフォルトのcalc.exeペイロードを自分たちのものに置き換えただけです」とセグラ氏は言う。®
