? ? ? ? APT組織正傾向于成為一個具有惡意企圖和相似目標的龐大但無定型的組織，但并不是所有的APT團隊都被公平地對待。研究員已經(jīng)發(fā)現(xiàn)其中一個組織至少在亞洲進行了7年的黑客操作，他們一直使用酒店的網(wǎng)絡來感染制造業(yè)、國防、投資業(yè)、私募股權(quán)投資、汽車等行業(yè)目標公司的高管?？ò退够鶎嶒炇业难芯咳藛T將這個組織稱為Darkhotel，他們已經(jīng)訪問到了零日漏洞并進行了漏洞挖掘，而且表明會在發(fā)現(xiàn)零日漏洞情況下使用它們。這個組織使用的其中一個零日漏洞是今年2月份公布的一個Flash漏洞。

? ? ? ? “這些攻擊者偶爾部署了0-day的開發(fā)，但在需要的時候會銷毀它。在過去幾年里，他們部署了0-day魚叉式網(wǎng)絡釣魚攻擊來針對Adobe產(chǎn)品和微軟IE的瀏覽器，包括cve-2010-0188。在2014年早期，我們的研究者披露他們使用過cve-2014-0497。Flash的0-day漏洞在2月初的安全名單上被例舉了出來?！盌arkhotel組織聲稱，“研究人員使用魚叉式網(wǎng)絡釣魚攻擊了一組通過中國的ISPS連接到互聯(lián)網(wǎng)的目標系統(tǒng)。開發(fā)了0-day利用能力去處理硬化Windows 8.1系統(tǒng)。有意思的是，flash對象嵌入在韓國文檔里，標題卻是‘列舉日本最新流行的AV風以及如何進行下載’”

? ? ? ? Darkhotel組織的黑客操作主要是在亞洲國家，但是在美國，韓國，新加坡，德國，愛爾蘭等國家也被報道出來。這個組織最主要的感染方式就是：當用戶連接到網(wǎng)絡，就會彈出一個對話框提示他們安裝一個假的更新軟件，那些軟件通常看起來像是合法的東西，比如Adobe Flash。如果受害者同意安裝這個假的更新軟件，他就會收到由攻擊者提供的帶有數(shù)字簽名的惡意軟件。這個惡意軟件帶有鍵盤記錄和其他一些功能，可以竊取用戶信息，然后再反饋給攻擊者。

? ? ? ? “當不知情的用戶，包括企業(yè)高管和高科技行業(yè)的企業(yè)家，他們?nèi)ジ鞣N各樣的酒店，在連接互聯(lián)網(wǎng)之后，網(wǎng)絡就被偽裝成任何一個主要軟件的木馬所感染。攻擊者在看到高管連接到受感染的網(wǎng)絡之后，將木馬跟隨用戶的下載文件安裝到設(shè)備上，假裝是某款受信任應用（比如Google Toolbar, Adobe Flash或者WindowsMessenger）的更新在用戶設(shè)備上植入后門，然后設(shè)備就會感染。惡意軟件的第一個階段幫助攻擊者識別重要的攻擊目標，從而選擇性地下載更高級別的盜竊工具?！眻蟮缆暦Q，“在酒店里，這些軟件選擇性地被分發(fā)到目標個體。這個組織的攻擊者似乎提前知道這些人什么時候到或者離開他們的酒店。所以攻擊者只需坐等這些旅行者的到來，然后進行互聯(lián)網(wǎng)連接?！?/p>

? ? ? ? Darkhotel組織的基礎(chǔ)設(shè)施包括訪問到記錄客人登記信息的一些酒店的系統(tǒng)。這就允許攻擊者將到達受入侵酒店的客人作為攻擊目標。但不是每一個聯(lián)網(wǎng)的用戶安裝假的更新程序會導致安裝惡意軟件。相反，攻擊者會挑選哪些客人值得跟蹤，他們會追求高價值的攻擊目標。除此之外，Darkhotel攻擊者會使用各種各樣的數(shù)字證書去標注他們的惡意軟件，攻擊者經(jīng)常以這種方式使用偷來的憑證。但Darkhotel似乎采取了不同的策略，他們復制較弱密鑰的合法證書。

? ? ? ? “所有相關(guān)情況下簽署的Darkhotel惡意軟件共享了相同的根證書頒發(fā)機構(gòu)。中級證書頒發(fā)機構(gòu)頒發(fā)安全性較弱的MD5密鑰證書（RSA 512位）。我們可以確信的是Darkhotel的威脅者欺詐性地復制這些證書來簽署惡意軟件，而這些密鑰并沒有被竊取。”報道聲稱。在2011年，微軟撤銷信任由DigiCert Sdn頒發(fā)的512位密鑰證書。Bdh，一個馬來西亞證書頒發(fā)機構(gòu)，警告說安全性較弱的密鑰可以使攻擊者破壞密鑰并復制證書。這似乎是Darkhotel做的事情，通過復制這些證書來實施他們的惡意活動。

? ? ? ? “攻擊者濫用安全性較弱的數(shù)字證書來簽署惡意代碼。他們以這種方式取得了至少10個CA認證。最近他們竊取并再次使用了其他一些合法證書來簽署他們的大部分靜態(tài)后門和infostealer工具箱。他們的基礎(chǔ)設(shè)施隨著時間的變化增加或減少，并沒有設(shè)置一致的模式。它既保護了靈活的數(shù)據(jù)加密，又保護了安全性較弱的密鑰?！笨ò退够鶎嶒炇易詈玫膱F隊在對攻擊的解釋中寫到。