一个APT 组织一直针对中国澳门的豪华酒店开展鱼叉式网络攻击,旨在破坏其网络并窃取入住度假村的知名宾客的敏感数据,包括澳门鹭环海天度假酒店和永利皇宫。
所谓的APT攻击,也叫作高级可持续威胁攻击,相对于普通的黑客攻击工具,针对性、攻击复杂程度更高,往往具有持续性,且隐蔽性更强。而APT组织,其目的主要是以获取政治、经济利益为出发点,窃取目标的核心资料,或者破坏对方关键基础设施。
Trellix 的一份研究报告指出,韩国DarkHotel组织很有可能是此次攻击的罪魁祸首。
研究人员表示,鱼叉式网络钓鱼攻击于11月底开始,载有恶意 Excel 宏指令的电子邮件被发送给有权访问酒店网络的酒店管理层,包括人力资源和办公室经理。
在一次攻击波中,网络钓鱼电子邮件于12月7日被发送到17家不同的酒店,并假装它们是从澳门政府旅游局发送的,以收集有关酒店住宿人员的信息。这些电子邮件要求收件人打开一个标有“宾客查询”的附加 Excel 文件。
“请打开带有启用内容的附件,并说明这些人是否住在酒店?” 根据 Trellix 的研究人员的说法,被读取的恶意电子邮件会显示是由“旅游局视察部”签署的。
DarkHotel 涉嫌窃取数据以进行未来攻击
Trellix 团队解释说,一旦打开这些钓鱼邮件,宏指令就会通过服务器开始从酒店网络中盗取数据。
“用于传播该活动的命令和控制服务器曾试图冒充密克罗尼西亚联邦的合法政府网站域,然而,真正的密克罗尼西亚网站域名是‘fsmgov.org’。”Trellix 的报告补充说。
Trellix 研究人员怀疑攻击者正在收集数据以供以后使用。在研究了目标酒店的活动议程后,研究人员确实发现了黑客可能感兴趣的多个会议。“例如,一家酒店正在举办国际环境论坛和国际贸易与投资博览会,这两个都会吸引潜在的间谍目标。”该团队表示,鱼叉式网络钓鱼攻击一直持续到1月18日。
酒店需要意识到网络安全的重要性
因为新冠疫情的蔓延取消或推迟了这些活动,让执法部门有更多时间去抓捕嫌犯。至2021年12月,澳门保安局接到警署网络安全事故预警及应急中心的通知,称类似保安局官方网页的域名被用于传播恶意软件和进行“违法行为”。
Trellix 报告补充说,除了针对酒店外,出现其他来源于同一IP地址的黑客活动,他们怀疑这个IP地址可能由 DarkHotel 控制,该黑客组织曾使用欺骗性的 Collab.Land 钓鱼页面攻击了 MetaMask的加密用户。
DarkHotel 针对中国的网络攻击历史由来已久。2020 年 4 月,该黑客集团攻击了为多家中国政府机构提供虚拟专用网 (VPN) 服务的服务提供商 SangFor。据报道,在被攻击的当月第一周,至少有 200 个端点被入侵。
大约在同一时间,在 新冠疫情大流行开始时,DarkHotel瞄准了世界卫生组织的系统。
此类攻击表明,存储在酒店网络中的数据对攻击者来说是多么有吸引力。Trellix 团队建议,酒店运营商应该认识到网络安全的重要性。当然,旅行者同样需要采取适当的安全预防措施。
*该文观点仅代表作者本人,本网站系信息发布平台,仅提供信息储存空间服务。如有侵权,请联系删除!
