永利和澳门的酒店遭到黑客组织的攻击,客人的敏感信息可能被盗破坏他们的网络设施并窃取入住度假村的知名客人的敏感数据。被袭击的酒店包括路环度假村和永利皇宫。Trellix威胁研究报告广泛地将韩国DarkHotelAPT组织确定为这些攻击背后的罪魁祸首。研究人员表示,鱼叉式网络钓鱼活动始于11月下旬,当时犯罪分子向管理人员发送包含恶意Excel宏文件的电子邮件,以访问酒店网络,包括人力资源。和办公室经理。其中一次攻击是在12月7日向17家不同的酒店发送钓鱼邮件,假装这些邮件是由澳门特别行政区政府旅游局发送的,攻击的目的是收集入住这些酒店的用户信息。这些电子邮件要求收件人打开标有“乘客查询”的Excel附件。Trellix的威胁研究人员表示,电子邮件的内容要求用户打开附件并回信说明这些人是否住在酒店。该电子邮件由旅游局检查司签署。研究人员怀疑DarkHotel窃取数据规划未来的攻击报告称,Trellix大致能够将这些攻击归因于DarkHotel组,因为他们的命令和控制服务器(C2)的IP地址先前已与该组相关联;酒店成为目标,在C2中发现的设置模式与已知的DarkHotel活动模式非常匹配。“我们在这一点上没有高度的信心,因为这个IP地址在公开曝光后已经活跃了相当长的一段时间,并且该IP地址还进行了与此威胁无关的其他网络,”Trellix团队说。攻击。这些观察结果使我们在调查归因时更加谨慎。Trellix团队解释说,一旦用户打开该文件,恶意宏代码就会与C2服务器建立联系,并开始渗透并窃取酒店网络中的数据。Trellix在报告中补充说,恶意攻击背后的命令和控制服务器试图冒充密克罗尼西亚联邦合法政府网站的域名。然而,真正的密克罗尼西亚网站域名是“fsmgov.org”。Trellix团队表示,他们怀疑攻击者只是在收集数据以供日后利用。Trellix研究人员报告说,在检查了目标酒店的活动议程后,我们确实发现了威胁参与者可能感兴趣的多个会议。例如,一家酒店正在举办国际环境论坛和国际贸易投资博览会,这两项活动都吸引了潜在的间谍攻击。该团队表示,鱼叉式网络钓鱼活动于1月18日停止。由于COVID-19大流行,会议已暂停。也就是说,由于COVID-19大流行,这些活动已被取消或推迟,从而使执法部门有时间逮捕嫌疑人。至2021年12月,澳门治安警察局接获警方网络安全事故警戒及应急中心通报,有人利用治安警察局官方网站的域名散布恶意软件及进行违法行为.Trellix的报告补充说,除了对酒店的攻击之外,犯罪分子还使用相同的C2IP地址进行其他犯罪活动。据研究,C2可能由DarkHotel控制。他们曾使用具有欺骗性的Collab.Land钓鱼页面来攻击MetaMask加密货币用户。DarkHotel集团长期以来一直瞄准中国用户。2020年4月,APT组织对被大量机构使用的中国虚拟专用网络(VPN)服务提供商SangFor进行了攻击。据报道,到本月第一周结束时,至少有200个端点遭到破坏。大约在同一时间,在COVID-19大流行开始时,DarkHotel将世界卫生组织的系统作为目标。像这样的攻击表明存储在酒店网络上的数据对威胁行为者来说是多么有吸引力。Trellix团队建议酒店经营者意识到网络安全需要触及生活的方方面面。Trellix补充说,旅行者还需要采取适当的安全预防措施。报告称,建议旅客只携带有限数量的必要设备,保持安全系统处于最新状态,并在使用酒店Wi-Fi时使用VPN服务。本文翻译自:https://threatpost.com/darkhotel-apt-wynn-macao-hotels/178989/如有转载请注明出处。
