Хакеры из DarkHotel APT переключились на политиков Северной Кореи
Хакерская группировка DarkHotel хорошо известна из-за взлома Wi-Fi сетей в дорогих отелях и шпионажа за руководителями крупных компаний. Впервые о DarkHotel заговорили в ноябре 2014 года, после отчета Лаборатории Каперского о целенаправленных атаках в Азии. В арсенале хакеров присутствовали инструменты для взлома Wi-Fi сетей, несколько эксплоитов для уязвимостей нулевого дня, а также P2P web-сайты. Примерно через год группировка начала использовать новую технологию взлома и эксплоит из набора Hacking Team.
Согласно отчету Bitdefender, хакеры из DarkHotel APT вышли на политическую арену. В сентябре 2016 года аналитики Bitdefender получили доступ к образцу вредоноса, доставляемого жертве посредством фишинговой рассылки. Целенаправленная атака получила название Inexmar.
Исследователи полагают, что целями в данной APT-кампании были политики из Северной Кореи. Фишинговое письмо содержало файл с названием “Pyongyang e-mail lists - September 2016,”, содержащее список email-адресов и контактов различных организаций в столице Северной Кореи. После попадания на систему, вредонос маскировался под библиотеку OpenSSL и подключался к C&C серверу для получения дальнейших указаний. Если зараженная система не соответствовала требованиям вредоноса, атака останавливалась. В противном случае с C&C сервера скачивалось дополнительное ПО. На момент анализа атаки, C&C сервер был отключен, поэтому исследователям не удалось выяснить подробности атаки и предположенные цели.
По мнению экспертов, подобного рода атаки не совсем характерны для группировки DarkHotel.
С подробным отчетом Bitdefender можно ознакомиться здесь .
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш