APT組織開(kāi)“黑店” 騰訊智慧安全“御界”展開(kāi)全面防御

近年來(lái)，隨著數(shù)據(jù)價(jià)值的突顯，不法黑客逐漸瞄準(zhǔn)政府機(jī)構(gòu)和重要行業(yè)發(fā)起APT攻擊。此前，騰訊智慧安全御見(jiàn)威脅情報(bào)中心曾曝光出持續(xù)針對(duì)高端商務(wù)人士、重要人士實(shí)施精準(zhǔn)攻擊的APT組織——DarkHotel（黑店）。近期，該中心再次發(fā)現(xiàn)DarkHotel（黑店）APT組織針對(duì)東北亞相關(guān)人物或要害部門的APT攻擊。目前，盡管暫未發(fā)現(xiàn)該木馬在國(guó)內(nèi)活動(dòng)，但騰訊電腦管家提醒廣大用戶和相關(guān)機(jī)構(gòu)，仍需做好網(wǎng)絡(luò)安全相關(guān)防御工作。

據(jù)了解，DarkHotel（黑店）APT組織的攻擊目標(biāo)是入住高端酒店的商務(wù)人士或有關(guān)部門重要人士，攻擊入口是酒店WiFi網(wǎng)絡(luò)，當(dāng)目標(biāo)用戶接入酒店WiFi時(shí)便會(huì)遭遇攻擊。該組織技術(shù)實(shí)力深厚，曾在多次攻擊行動(dòng)中使用0day進(jìn)行攻擊，比如今年新曝光的CVE-2018-8174、CVE-2018-8373等。騰訊智慧安全御見(jiàn)威脅情報(bào)中心對(duì)其SYSCON/SANNY后門程序進(jìn)行長(zhǎng)期跟蹤后發(fā)現(xiàn)，該后門一直以來(lái)使用FTP協(xié)議進(jìn)行C&C通信，并且有很強(qiáng)的躲避技術(shù)和繞UAC技術(shù)，而最新版本的后門采用了多階段執(zhí)行、云控、繞最新UAC等技術(shù)，使得攻擊更加隱蔽和難以發(fā)現(xiàn)。

分析顯示，在新的攻擊活動(dòng)中，該組織依然采用了最常見(jiàn)的魚(yú)叉攻擊方式，攻擊的誘餌有兩個(gè)，均與東北亞問(wèn)題相關(guān)。在攻擊載體的選擇上，該組織選取傳統(tǒng)的Word文件，通過(guò)在Word文檔中嵌入惡意宏代碼來(lái)實(shí)現(xiàn)攻擊。為了誘使用戶啟用宏，特意將字體修改成非常淺的顏色導(dǎo)致用戶無(wú)法閱讀，而用戶啟用宏以后才會(huì)顯示為方便閱讀的黑色。

與以往的攻擊相比，本次攻擊的大部分代碼被放到云端，在VBA腳本中只保留非常簡(jiǎn)單的幾行代碼，云控化的安裝過(guò)程使得木馬的傳播和感染過(guò)程靈活可控。同時(shí)，CAB壓縮包文件也被分為兩個(gè)存放在云端，由bat腳本判斷本地系統(tǒng)后按需進(jìn)行下載。此外，通過(guò)對(duì)比發(fā)現(xiàn)，SYSCON后門與另一款針對(duì)東北亞重要人士攻擊的KONNI后門有著非常大的相同點(diǎn)，因此騰訊安全技術(shù)專家判斷，這兩款后門，屬于一個(gè)攻擊組織。

（騰訊智慧安全御界高級(jí)威脅檢測(cè)系統(tǒng)）

對(duì)此，騰訊電腦管家安全專家、騰訊安全反病毒實(shí)驗(yàn)室負(fù)責(zé)人馬勁松提醒廣大用戶，建議用戶不要打開(kāi)來(lái)源不明的郵件附件，謹(jǐn)慎連接公用的Wi-Fi網(wǎng)絡(luò)進(jìn)行軟件升級(jí)等操作，若必須連接公用Wi-Fi網(wǎng)絡(luò)，盡量避免進(jìn)行可能泄露機(jī)密信息或隱私信息的操作，如收發(fā)郵件、IM通信、銀行轉(zhuǎn)賬等；同時(shí)建議政府及企業(yè)用戶選擇使用騰訊智慧安全御界高級(jí)威脅檢測(cè)系統(tǒng)，通過(guò)“御界防APT郵件網(wǎng)關(guān)”，解決惡意郵件的攻擊威脅，切實(shí)保護(hù)好企業(yè)自身的網(wǎng)絡(luò)安全。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。