Çin’in özel idari bölgesi Makao’daki lüks oteller, Kasım 2021’in ikinci yarısından 2022 Ocak ortasına kadar kötü niyetli bir hedef odaklı kimlik avı kampanyasının hedefiydi.
Siber güvenlik firması Trellix atfedilen tarafından daha önce yayınlanan araştırmaya dayanarak, DarkHotel olarak izlenen şüpheli bir Güney Koreli gelişmiş kalıcı tehdidine (APT) orta derecede güvenle kampanya Zscaler Aralık 2021’de.
Zscaler araştırmacıları Sahil Antil ve Sudeep, DarkHotel’in 2007’den beri aktif olduğuna inanılan, “üst düzey işletme yöneticilerinin, sızmış otel Wi-Fi ağları aracılığıyla bilgisayarlarına kötü amaçlı kodlar yükleyerek ve ayrıca mızrakla kimlik avı ve P2P saldırıları yoluyla” çarpıcı bir geçmişi var. dedi Singh. Hedeflenen öne çıkan sektörler arasında kolluk kuvvetleri, ilaç ve otomotiv üreticileri yer alıyor.
Saldırı zincirleri, insan kaynakları başkan yardımcısı, müdür yardımcısı ve ön büro müdürü gibi oteldeki yönetici rollerinde bulunan kişilere yönelik e-posta mesajlarının dağıtılmasını içeriyordu ve izinsiz girişlerin otele erişimi olan personeli hedef aldığını gösteriyordu. otelin ağı.
7 Aralık’ta 17 farklı otele gönderilen bir kimlik avı cazibesinde, Makao Hükümeti Turizm Ofisi’nden geldiği iddia edilen e-posta, kurbanları “信息.xls” (“information.xls”) adlı bir Excel dosyasını açmaya çağırdı. Başka bir durumda, e-postalar, otellerde kalan kişiler hakkında bilgi toplamak için sahteydi.
Kötü amaçlı yazılım yüklü Microsoft Excel dosyası açıldığında, alıcıları kandırarak makroları etkinleştirmeleri için bir istismar zincirini tetikleyerek güvenliği ihlal edilmiş makinelerden hassas verileri toplayıp uzak bir komuta ve kontrol (C2) sunucusuna (“fsm-gov”) geri sızdırdı.[.]com”), Mikronezya Federal Devletleri (FSM) için hükümet web sitesinin kimliğine büründü.
Trellix araştırmacıları Thibault Seret ve John Fokker geçen hafta yayınlanan bir raporda, “Bu IP, aktör tarafından sistem bilgilerinin sızması ve olası sonraki adımlar için kurban ortamını kurmanın ilk aşamaları olarak yeni yükleri bırakmak için kullanıldı.” Dedi. “Bu yükler, Grand Coloane Resort ve Wynn Palace dahil olmak üzere Makao’daki büyük otel zincirlerini hedeflemek için kullanıldı.”
Ayrıca, C2 sunucusu IP adresinin önceden kamuya açıklanmasına rağmen etkin kalmaya devam etmesi ve MetaMask kripto para cüzdan kullanıcılarına yönelik alakasız bir kimlik bilgisi toplama saldırısı için kimlik avı sayfalarına hizmet etmek için kullanılması da dikkate değerdir.
Kampanyanın, Macau’da COVID-19 vakalarının artmasıyla aynı zamana denk gelen ve hedeflenen otellerde gerçekleşecek bir dizi uluslararası ticaret konferansının iptaline veya ertelenmesine yol açan 18 Ocak 2022’de kaçınılmaz sona ermesi gerektiği söyleniyor. .
Araştırmacılar, “Grup, bu belirli otelleri içeren gelecekteki bir kampanyanın temelini atmaya çalışıyordu” dedi. “Bu kampanyada, COVID-19 kısıtlamaları, tehdit aktörünün motorunda bir anahtar attı, ancak bu, bu yaklaşımı terk ettikleri anlamına gelmez.”
