疑似 DarkHotel 攻击澳门豪华酒店

疑似 DarkHotel 攻击澳门豪华酒店
2022-3-29 17:43:0 Author: www.freebuf.com(查看原文) 阅读量:7 收藏

2021 年 11 月以来，研究人员发现针对中国澳门豪华酒店（包括 Grand Coloane Resort-澳门鹭环海天度假酒店、Wynn Palace-澳门永利皇宮酒店）的攻击行动。攻击始于一封针对酒店管理人员的鱼叉邮件，攻击目标包括人力资源副总裁、经理助理和前台经理，攻击者想通过这些攻击目标获取酒店的对应权限，例如预定系统。

鱼叉邮件带有恶意 Excel 文档，文档引诱受害者启用宏代码。攻击的基本流程如下所示：

image.png-40.9kB 攻击流程

Zscaler 的研究人员在 2021 年 12 月下旬披露了一个 DarkHotel 的攻击行动。本文分析到的 C&C IP 地址 23.111.184.119也与之相关，该 IP 地址被攻击者持续使用。

DarkHotel

DarkHotel 是一个疑似为韩国背景的 APT 攻击组织，过往针对法律、医药和汽车行业发起攻击。该组织经常通过携带恶意文档的鱼叉邮件攻击酒店与酒店访客，从而在入住豪华酒店的高管处窃取敏感信息。

钓鱼邮件

2021 年 12 月 7 日，攻击者以澳门旅游局的名义向澳门 17 家酒店发送了一封电子邮件，邮件携带名为 信息.xls的附件。

image.png-56.7kB 邮件元数据

同属于同一攻击行动的另一封电子邮件中，攻击者要求酒店员工填写 Excel 确认是否存在该人员入住酒店：

image.png-31.4kB 邮件正文

技术分析

攻击者通过 Excel 2013 983040 的程序来生成恶意 Excel 文档。

image.png-49.8kB 恶意文档元数据

在 DocumentSummaryInformation或 Summaryinformation流中查找四字节的属性 PropertySetSystemIdentifier可以确定创建 Excel 的操作系统：

image.png-89.3kB 十六进制数据

由此可知，攻击者通过 Windows 8 操作系统来创建该文件。

Excel 通过默认密码 VelvetSweatshop进行加密，打开后会显示诱饵信息引诱受害者。

image.png-124.8kB Excel 文件

打开文件时会触发嵌入的宏代码：

image.png-206.1kB 文件解析

恶意宏代码被存储在 Module1.bas中：

image.png-167.2kB 宏代码

宏代码经过高度混淆，创建了大量的循环来解码字符串与命令。

image.png-252.4kB 混淆代码

以其中一个为例，函数中创建 COM 对象并通过 Schedule.Service对任务进行调度。

image.png-158.4kB 对象创建

这样，攻击者就不必使用 schtasks.exe来设置定时任务。

不同的计划任务设置如下所示：

Connect
GetFolder
NewTask
Settings
StartWhenAvailable
RunOnlyIfNetworkAvailable
StopIfGoingOnBatteries
DisallowStartIfOnBatteries

首先在 C:\\Users\USER\AppData\\Roaming\\Microsoft\\Windows\\中释放名为 prcjobs.vbs的脚本，接着使用 wscript.exe执行 wscript.exe /b /nologo "C:\Users\USER\AppData\Roaming\Microsoft\Windows\prcjobs.vbs" "powershell -c。

image.png-137.1kB PowerShell 脚本