گروه هک “DarkHotel” بیش از یک دهه است که با رخنه به هاتاسپاتهای WiFi در هتلهای لوکس، به طور خاص، کارکنان رده بالای شرکتهای تجاری را که میهمان این هتلها هستند هدف قرار میدهد.
همچنین این گروه از طریق بهرهجویی (Exploit) از آسیبپذیریهای نرمافزارهای نصب شده بر سرورهای هتل کد مخرب را بر روی آنها ذخیره کرده و از آنها در جریان حمله استفاده میکند.
مهاجمان DarkHotel بهطور پیوسته تاکتیکها و بدافزارهای خود را بهبود داده و با استفاده از حملات فیشینگ و ترفندهای مهندسی اجتماعی دستگاه افراد کلیدی همچون پرسنل تحقیق و توسعه و مدیران عامل را به بدافزارهایی با اهداف جاسوسی آلوده میکردهاند.
به گزارش شرکت مهندسی شبکه گستر، اکنون شرکت Bitdefender با شناسایی بدافزار پیشرفته جدیدی با نام Inexsmar از تغییر اهداف گروه DarkHotel، از شرکتهای تجاری به شخصیتهای دولتی و سیاسی خبر داده است.
همانند حملات پیشین این گروه، حمله با ایمیلهای فیشینگی آغاز میشود که بطور خاص برای قربانی طراحی شده است.
پیوست ایمیل یک فایل خود باز شونده (Self-extracting Archive) با نام winword.exe است که هدف آن اجرای یک دانلود کننده بر روی سیستم قربانی است.
برای جلوگیری از مشکوک شدن قربانی، دانلود کننده یک فایل Word با نام Pyongyang Directory Group email SEPTEMBER 2016 RC_Office_Coordination_Associate.docx را نیز باز میکند.
فایل مذکور حاوی فهرستی از ایمیل های افراد و مراکز در پایتخت کره شمالی است.
حتی در بخشی از آن توصیههایی در خصوص جلوگیری از دست یافتن ارسال کنندگان هرزنامهها به ایمیلهای موجود در فایل و حتی نکاتی در خصوص حافظت از حریم خصوصی خواننده درج شده است!
مشابه سایر بدافزارهای مورد استفاده DarkHotel، بدافزار Inexsmar نیز در چندین مرحله از سرور فرماندهی (Command & Control) مهاجمان دریافت میشود.
برخی محققان بدافزارهای DarkHotel را تهدیدات پیشرفته و دنبالهدار (APT) می دانند. بسیاری نیز معتقدند این گروه از حمایت دولتی برخوردار است.
مشروح گزارش شرکت Bitdefender در اینجا قابل دریافت و مطالعه است.
توضیح اینکه Inexsmar و فایلهای مرتبط با آن با نامهای زیر توسط ضدویروسهای McAfee و Bitdefender شناسایی میشوند.
McAfee:
- Artemis!9D1F784766EC
- Artemis!BC99344BCD68
- RDN/Generic PWS.y
Bitdefender:
- Gen:Trojan.Heur2.FU.fuW@a8Yfwnki
- Trojan.ScriptKD.3999
- Gen:Variant.Graftor.168504