DarkHotel APT 针对中国豪华酒店活动更新

    上周，Trellix安全研究人员表示，自2021年11月以来，一直有APT组织在针对中国澳门的豪华酒店开展恶意活动，根据攻击者所使用的攻击媒介和恶意软件工具等线索，该团队表示DarkHotel很有可能是罪魁祸首。

    DarkHotel是一个善于使用鱼叉式网络钓鱼攻击的韩国APT组织。至少自2007年以来，该APT组织就一直活跃于酒店、政府、汽车和制药行业，主要针对企业和行业高管进行监控和数据盗窃。

介绍：

自 2021 年 11 月下半月以来，我们的高级威胁研究团队发现了针对中国澳门豪华酒店的第一阶段恶意活动。攻击始于一封针对酒店管理人员的鱼叉式网络钓鱼电子邮件，其职位包括人力资源副总裁、助理经理和前台经理。根据职称，我们可以假设目标个人有足够的权限访问酒店的网络，包括预订系统。用于此鱼叉式网络钓鱼攻击的电子邮件包含带有 Excel 工作表的附件。此 Excel 表格用于欺骗受害者并在打开时启用嵌入的恶意宏。这些宏启用了技术分析部分中详述的几种机制，并在下面的感染流程图中进行了总结。第一，宏创建计划任务来执行识别、数据列表和数据泄露。然后，为了与用于泄露受害者数据的命令和控制服务器进行通信，宏使用已知的 lolbas（在陆地上的二进制文件和脚本）技术来执行 PowerShell 命令行作为受信任的脚本：

Zscaler 研究团队于 2021 年 12 月下旬撰写的一份外部报告谈到了 APT DarkHotel 活动，并详细分析了一个新的攻击链。在本文中，与用于系统信息泄露的 C2 基础设施相关的 IP 提到：“23.111.184[.]119”。一旦暴露，我们经常看到威胁参与者将他们的操作转移到不同的基础设施或停止他们的操作一段时间。然而，在这种情况下都没有发生，即使在我们完成初步研究之后，该 IP 仍被演员继续使用。

攻击者使用此 IP 来丢弃新的有效载荷，作为第一阶段，为系统信息泄露和潜在的后续步骤设置受害者环境。这些有效载荷被用来瞄准澳门的主要连锁酒店，包括路环大酒店和永利皇宫。

得益于我们的技术，Trellix 的客户可以免受这种威胁。通用签名名称已归属：“RDN/Generic Downloader.x”和“BehavesLike.OLE2.Downloader.cg”。

DarkHotel 背景：

DarkHotel 是一个疑似韩国高级持续威胁 (APT) 组织，以针对执法、制药和汽车制造商以及其他行业而闻名。该组织通过使用恶意代码的鱼叉式网络钓鱼活动瞄准酒店和商务酒店访客，从而在入住豪华酒店时从首席执行官和销售负责人等高管那里窃取敏感数据而得名。

归因：

我们以中等程度的信心将此活动归功于 DarkHotel。在我们的研究中，我们发现了以下支持可能归因于 DarkHotel 的证据：

• 提到的 IP 归因于网络安全社区的 DarkHotel C2 活动

• 目标行业和国家符合 DarkHotel 目标概况

• 命令和控制面板显示了归因于 DarkHotel APT 的已知开发模式

但是，我们已将信心等级降低至中等，因为特定 IP 地址即使在公开暴露后仍保持活跃相当长的一段时间，并且同一 IP 地址是与此特定威胁无关的其他恶意内容的来源。这两个观察结果使我们在归因时更加谨慎。

活动分析：

我们将在此特定活动中详细说明可疑的 DarkHotel 技术行为。

2021 年 12 月 7 日星期二，“澳门政府旅游局”向澳门地区 17 家不同的酒店发送了一封电子邮件，该电子邮件的附件是一个名为“信息.xls”（information.xls）的 Excel 文件。通过检查网络钓鱼邮件的邮件头，我们能够识别出这 17 家酒店。

在与此活动相关的另一封电子邮件中，该演员通过要求酒店员工填写 Excel 文件以指定哪些人住在酒店并以“乘客查询”为主题来引诱他们：

尊敬的先生/女士，
请打开带有启用内容的附件，并说明该人是否入住酒店？

此致，
视察部 - 旅游局

技术分析：

通过查看与 Excel 文件相关的代码，我们可以确定使用了哪个操作系统和 Office 版本来生成它。“DocumentSummaryInformation”流提供有关所用 Office 版本的信息。在本例中，版本为“983040”，与 Excel 2013 相关。

然后通过在“DocumentSummaryInformation”或“Summaryinformation”流中查找 4 字节的 PropertySetSystemIdentifier，我们可以定义用于创建 Excel 文件的操作系统：

我们可以假设演员使用 Windows 8 创建此 Excel 文件，因为 4 字节的 PropertySetSystemIdentifier 指示主要和次要版本的操作系统，这里 Windows 0x06 0x02 = Windows 8。

Excel 文件使用默认密码“VelvetSweatshop”进行密码保护。解密后，Excel 文件会显示一些诱饵信息以引起受害者的兴趣：

打开文件时会触发文件嵌入宏。这些宏有几种机制，我们将详细介绍：

恶意宏存储在“Module1.bas”流中。

宏被混淆以使分析更加复杂，并创建大量循环来解码字符串、命令等，以准备受害者环境以向 C2 发送信息：

作为一个循环示例，一个函数专用于创建一个 COM 对象，该对象通过实现“Schedule.Service”来调度任务来加载任务调度程序服务：

通过使用这种机制，特权用户可以在主机上安排任务，而无需使用“schtasks.exe”二进制文件。

以下是相关的不同计划任务设置：

- 连接

- 获取文件夹

- 新任务

- 设置

- StartWhenAvailable

- RunOnlyIfNetworkAvailable

- StopIfGoingOnBatteries

- DisallowStartIfOnBatteries

功能总结：

- 在“C:\UsersUSERAppData\Roaming\Microsoft\Windows\”中删除 VBS 脚本

- 使用相关参数启动 wscript

- 使用相关的命令行启动 PowerShell

- 删除创建的文件

- 检查“Sytem32”中的“Syncappvpublishingserver.vbs”。

除了第一个 PowerShell 之外，“wscript.exe”二进制文件用于执行之前在“C:\UsersUSERAppData\Roaming\Microsoft\Windows\”中删除的名为“prcjobs.vbs”的脚本命令行用作参数，运行为：
“wscript.exe /b /nologo "C:UsersUSERAppDataRoamingMicrosoftWindowsprcjobs.vbs" "powershell -c"

这个脚本用于设置很多东西。首先，它创建许多临时环境变量来分配空间并获取计算机名称和 RMOT 指示符，以向硬编码的 C2 指示受害者的名称。然后，它制作一个流来泄露这些数据并将其连接到 C2 “fsm-gov.com”。然后有一个函数，我们假设，通过查找“sc”字符串作为先前为“RMOT”指示器设置的环境来检查主机是否已经受到威胁。如果主机被入侵，脚本将删除与攻击相关的文件。

该组织使用的另一个 Excel 文件示例在同一时期发现了更多具有相同配置（C2 连接、宏等）的 PowerShell 机制。我们假设之前的样本是演员的第一次尝试，而这个是下一个版本：

在这种情况下，如前所述，宏和 C2 配置（环境变量、流制作等）是相同的。此外，元数据与以前的 Excel 表相同（使用操作系统和 Office 版本）。这意味着我们可以假设这些 Excel 工作表是在同一台机器上创建的，或者至少是由同一组创建的。

与前一个示例的主要区别在于 PowerShell 机制。

在宏的解密过程中，我们提到该文件正在寻找“SyncappvpublishingServer.vbs”到“System32”。原因是使用“wscript.exe”请求此文件以及 PowerShell 命令行作为参数允许当前用户执行由 Microsoft 签名的脚本。所以基本上，在主机上是受信任的而不是被阻止的。

第一步是调用“SyncappvpublishingServer.vbs”并抛出“wscript.exe”并将您想使用的命令行作为参数传递：

如您所见，该脚本与我们之前描述的前一个示例非常相似。相同的机制，但以另一种方式调用。然后 PowerShell 脚本被诱骗为受信任的脚本：

命令与控制服务器 URL“https://fsm-gov.com”是硬编码的，并且在代码中清晰可见。该脚本的目标与前面的脚本相同。

指挥与控制考试：

用于传播此活动的命令和控制服务器 hxxps://fsm-gov(.)com 试图冒充密克罗尼西亚联邦的合法政府网站域。然而，真正的密克罗尼西亚网站域名是“fsmgov.org”：

C2使用的域名是“fsm-gov.com”：

看起来该 IP 归 Hivelocity 所有并托管在提供共享 VPS 的“hosterbox.com”上，这可以解释大量未知的其他恶意活动。我们试图联系 Hivelocity 以获取有关这台机器的更多详细信息，但他们不愿意合作。

后端与之前报道的与 DarkHotel 相关的命令和控制非常相似。

通过检查特定的 C2 服务器，我们能够确定威胁参与者选择使用 Mailman 将电子邮件传播到他们的目标。

活动目标：

根据定位，我们怀疑该组织试图为未来涉及这些特定酒店的活动奠定基础。在研究了目标酒店的活动议程后，我们确实发现了威胁参与者可能感兴趣的多个会议。例如，一家酒店正在举办国际环境论坛和国际贸易与投资博览会，这两者都会吸引潜在的间谍目标。

但即使是威胁演员也会倒霉。由于 COVID-19 在澳门和整个中国迅速崛起，大部分活动被取消或推迟。这可以解释为什么攻击者在 1 月 18 日之后停止传播他们的恶意负载。

政府警报：

值得庆幸的是，澳门保安局于 2021 年 12 月获悉该行动：

澳门保安局（MSSB）接获警务处网络安全事故预警及应急中心通知，与澳门保安局官网高度相似的网域名称（fsm-gov.com）澳门保安部队已被发现，怀疑有不法分子利用电邮发送欺诈电邮进行违法行为。澳门保安部队事务局及当局已立即跟进有关情况。

澳门保安部队事务局谨此提醒市民，浏览互联网时应提高警惕，切勿访问可疑链接或向可疑网站或电子邮件发送任何个人信息。如有任何怀疑，请致电澳门保安局投诉及查询热线87997777核实情况，以防上当受骗。或者，您可以致电司法警察欺诈调查热线 8800 7777 或犯罪举报热线 993 寻求帮助。

与 C2 IP 相关的其他犯罪活动：

在我们的报告前面我们提到，我们不仅观察到针对源自特定 IP 的连锁酒店的活动，还观察到其他恶意活动。其中一项活动是针对 MetaMask 加密用户并向他们展示 Collab.Land 网络钓鱼页面：

快速浏览网页的来源证实了我们的怀疑；MetaMask 用户被提示填写他们的凭据，然后将其发送到用于凭据收集的 Discord 服务器。

鉴于威胁参与者 TTP 的差异，我们非常有把握地认为，此网络钓鱼活动与本博客中描述的可疑 DarkHotel 活动无关。该 IP 与大量恶意活动的关联会将该 IP 置于所有主要阻止列表中，从根本上限制了他们从一开始就感染目标的能力。这种不必要的关注并不支持网络间谍活动，这也是我们将 APT 攻击的信心水平调整为适度的原因。

结论：

无论威胁行为者的确切归属如何，该活动都表明酒店业确实是间谍活动的有效目标。高管们应该意识到，他们各自组织的（网络）安全不会停留在他们网络的边缘。过去，有多个例子表明，知道谁住在哪里以及参加哪个会议是威胁参与者定位过程中的重要一步，这导致了数字或面对面的跟进。在这次活动中，COVID-19 限制对威胁参与者的引擎造成了影响，但这并不意味着他们已经放弃了这种方法。

因此，我们建议旅行者在从酒店到酒店旅行时进行安全尽职调查。在使用酒店 Wi-Fi 时，只携带数据有限的基本设备，保持安全系统最新并使用 VPN 服务。

MITRE ATT&CK：

检测机制：

西格玛规则：

- 超长的 PowerShell 命令行：
https ://github.com/SigmaHQ/sigma/blob/6f5271275e9ac22be9ded8b9252bce064e524153/rules/wi
ndows/process_creation/sysmon_long_powershell_commandline.yml

-Windows 在命令行中可疑使用 Web 请求：
https ://github.com/SigmaHQ/sigma/blob/eb382c4a59b6d87e186ee269805fe2db2acf250e/rules/wi
ndows/process_creation/process_creation_susp_web_request_cmd.yml

- 停止 Windows 服务：
https ://github.com/SigmaHQ/sigma/blob/69be18d343db717b6fcac9e0b52aea9a8908701d/rules/wi
ndows/process_creation/win_service_stop.yml

- 基于父进程的可疑 PowerShell 调用：
https ://github.com/SigmaHQ/sigma/blob/69be18d343db717b6fcac9e0b52aea9a8908701d/rules/wi
ndows/process_creation/win_service_stop.yml

- Net.exe 执行：
https ://github.com/SigmaHQ/sigma/blob/69be18d343db717b6fcac9e0b52aea9a8908701d/rules/wi
ndows/process_creation/win_service_stop.yml

原文始发于微信公众号（安全狗的自我修养）：DarkHotel APT 针对中国豪华酒店活动更新