Hackers sul-coreanos do DarkHotel miram hotéis de luxo em Macau

Os hotéis de luxo na região administrativa especial chinesa de Macau foram alvo de uma campanha maliciosa de spear phishing desde a segunda quinzena de novembro de 2021 e até meados de janeiro de 2022.A empresa de segurança cibernética Trellix atribuiu a campanha com confiança moderada a uma suspeita de ameaça persistente avançada (APT) sul-coreana rastreada como DarkHotel, com base em pesquisas publicadas anteriormente pela Zscaler em dezembro de 2021.Acredita-se que esteja ativo desde 2007, o DarkHotel tem um histórico de atingir "executivos de negócios seniores ao carregar códigos maliciosos em seus computadores por meio de redes Wi-Fi infiltradas de hotéis, bem como por meio de ataques de spear phishing e P2P", os pesquisadores da Zscaler Sahil Antil e Sudeep disse Singh. Os setores de destaque visados ​​incluem aplicação da lei, produtos farmacêuticos e fabricantes de automóveis.

As cadeias de ataque envolveram a distribuição de mensagens de e-mail direcionadas a indivíduos em funções executivas no hotel, como vice-presidente de recursos humanos, gerente assistente e gerente de front office, indicando que as invasões eram direcionadas a funcionários que possuíam acesso ao rede hoteleira.Em uma isca de phishing enviada a 17 hotéis diferentes em 7 de dezembro, o e-mail supostamente era do Escritório de Turismo do Governo de Macau e instava as vítimas a abrir um arquivo Excel chamado "信息.xls" ("informações.xls"). Em outro caso, os e-mails foram falsificados para coletar detalhes sobre as pessoas hospedadas nos hotéis.

O arquivo do Microsoft Excel com malware, quando aberto, enganou os destinatários para habilitar macros, acionando uma cadeia de exploração para coletar e exfiltrar dados confidenciais das máquinas comprometidas de volta para um servidor remoto de comando e controle (C2) ("fsm-gov [.]com") que personificava o site do governo dos Estados Federados da Micronésia (FSM).“Esse IP foi usado pelo ator para descartar novas cargas úteis como primeiros estágios para configurar o ambiente da vítima para exfiltração de informações do sistema e possíveis próximas etapas”, disseram os pesquisadores da Trellix, Thibault Seret e John Fokker, em um relatório publicado na semana passada. "Essas cargas foram usadas para atingir grandes cadeias de hotéis em Macau, incluindo o Grand Coloane Resort e o Wynn Palace".Também digno de nota é o fato de que o endereço IP do servidor C2 continuou ativo apesar da divulgação pública anterior e que está sendo usado para servir páginas de phishing para um ataque de coleta de credenciais não relacionado direcionado aos usuários da carteira de criptomoeda MetaMask.A campanha terá tido o seu inevitável fim a 18 de janeiro de 2022, coincidindo com o aumento dos casos de COVID-19 em Macau, levando ao cancelamento ou adiamento de uma série de conferências internacionais de comércio que estavam programadas para ocorrer nos hotéis visados. ."O grupo estava tentando estabelecer as bases para uma futura campanha envolvendo esses hotéis específicos", disseram os pesquisadores. “Nesta campanha, as restrições do COVID-19 prejudicaram o mecanismo do agente da ameaça, mas isso não significa que eles abandonaram essa abordagem”.