Les h\u00f4tels de luxe de la r\u00e9gion administrative sp\u00e9ciale chinoise de Macao ont \u00e9t\u00e9 la cible d’une campagne de harponnage malveillante de la seconde moiti\u00e9 de novembre 2021 \u00e0 la mi-janvier 2022.<\/p>\n
Cabinet de cybers\u00e9curit\u00e9 Trellix attribu\u00e9<\/a> la campagne avec une confiance mod\u00e9r\u00e9e \u00e0 une menace persistante avanc\u00e9e (APT) sud-cor\u00e9enne pr\u00e9sum\u00e9e suivie sous le nom de DarkHotel, en s’appuyant sur des recherches pr\u00e9c\u00e9demment publi\u00e9es par \u00c9chelle Z<\/a> en d\u00e9cembre 2021.<\/p>\n Consid\u00e9r\u00e9 comme actif depuis 2007, DarkHotel a l’habitude de frapper “des cadres sup\u00e9rieurs d’entreprises en t\u00e9l\u00e9chargeant du code malveillant sur leurs ordinateurs via des r\u00e9seaux Wi-Fi infiltr\u00e9s dans les h\u00f4tels, ainsi que par le biais de spear-phishing et d’attaques P2P”, ont d\u00e9clar\u00e9 les chercheurs de Zscaler Sahil Antil et Sudeep. dit Singh. Les principaux secteurs cibl\u00e9s sont les forces de l’ordre, les produits pharmaceutiques et les constructeurs automobiles.<\/p>\n Les cha\u00eenes d’attaque impliquaient la distribution de messages \u00e9lectroniques destin\u00e9s \u00e0 des personnes occupant des postes de direction dans l’h\u00f4tel, tels que le vice-pr\u00e9sident des ressources humaines, le directeur adjoint et le directeur de la r\u00e9ception, indiquant que les intrusions visaient le personnel qui avait acc\u00e8s au r\u00e9seau de l’h\u00f4tel.<\/p>\n Dans un leurre de phishing envoy\u00e9 \u00e0 17 h\u00f4tels diff\u00e9rents le 7 d\u00e9cembre, l’e-mail pr\u00e9tendait provenir de l’Office du tourisme du gouvernement de Macao et exhortait les victimes \u00e0 ouvrir un fichier Excel nomm\u00e9 “\u4fe1\u606f.xls” (“information.xls”). Dans un autre cas, les e-mails ont \u00e9t\u00e9 falsifi\u00e9s pour recueillir des d\u00e9tails sur les personnes s\u00e9journant dans les h\u00f4tels.<\/p>\n Le fichier Microsoft Excel contenant des logiciels malveillants, une fois ouvert, a incit\u00e9 les destinataires \u00e0 activer les macros, d\u00e9clenchant une cha\u00eene d’exploitation pour collecter et exfiltrer les donn\u00e9es sensibles des machines compromises vers un serveur de commande et de contr\u00f4le (C2) distant (“fsm-gov[.]com”) qui se sont fait passer pour le site Web du gouvernement des \u00c9tats f\u00e9d\u00e9r\u00e9s de Micron\u00e9sie (EFM).<\/p>\n “Cette adresse IP a \u00e9t\u00e9 utilis\u00e9e par l’acteur pour d\u00e9poser de nouvelles charges utiles comme premi\u00e8re \u00e9tape pour configurer l’environnement de la victime pour l’exfiltration des informations syst\u00e8me et les prochaines \u00e9tapes potentielles”, ont d\u00e9clar\u00e9 les chercheurs de Trellix, Thibault Seret et John Fokker, dans un rapport publi\u00e9 la semaine derni\u00e8re. “Ces charges utiles ont \u00e9t\u00e9 utilis\u00e9es pour cibler les grandes cha\u00eenes h\u00f4teli\u00e8res de Macao, notamment le Grand Coloane Resort et le Wynn Palace.”<\/p>\n![\"Sauvegardes](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/Nouveau-Wiper-Malware-ciblant-lUkraine-dans-le-cadre-de-loperation.png\")
<\/a><\/center><\/div>\n![\"\"](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/Les-pirates-sud-coreens-de-DarkHotel-ciblent-les-hotels-de-luxe.jpeg\"\/)
<\/div>\n