DarkHotel是一个韩国黑客组织，其主要攻击目标是酒店业。2021年11月以来，研究人员发现了疑似DarkHotel组织针对中国澳门豪华酒店的恶意活动。此次活动确定的两家连锁酒店分别是路环海逸度假酒店和永利皇宫，均为 5 星级酒店。这些酒店计划举办有关贸易、投资和环境的国际会议，因此此次活动可能是DarkHotel组织在为未来的间谍活动做准备。 攻击始于一封针对酒店管理人员的鱼叉式网络钓鱼电子邮件，邮件冒充澳门旅游局的地址，其中包含带有 Excel 工作表的附件。此 Excel 表格用于欺骗受害者并在打开时启用嵌入的恶意宏。感染链如下图：

DarkHotel是一个位于韩国的APT组织，至少自 2007 年以来一直活跃。该组织通过渗透酒店 WiFi 网络部署恶意代码，主要发起网络钓鱼和 P2P 攻击。近日，研究人员捕获了DarkHotel组织的新攻击链，活动中的二进制文件在执行时，会检查进程中是否有我国的安全软件。此外，攻击者的基础设施托管了多个伪装成我国相关组织的域，因此该组织针对的主要攻击目标可能是我国用户。 简况此次活动完整的攻击链如下：此攻击的第一阶段是一个多层恶意文档，定义了一个AltChunk 元素来加载嵌入的 DOCX 文件。嵌入的 DOCX 文件定义了另一个 AltChunk 元素，用于加载嵌入的恶意 RTF 文件。恶意RTF文件包含三个OLE对象，如下图：

2020年3月期间，360安全大脑发现并披露了涉半岛地区APT组织Darkhotel（APT-C-06）利用VPN软件漏洞攻击我国政府机构和驻外机构的APT攻击行动。在攻击行动中Darkhotel（APT-C-06）组织使用了一系列新型的后门框架，该后门程序未被外界披露和定义过，360高级威胁研究院根据攻击组件的文件名将其命名为“Thinmon”后门框架。通过对Darkhotel（APT-C-06）组织利用“Thinmon”后门框架实施攻击活动的追踪，发现该组织最早从2017年就开始利用该后门框架实施了长达三年时间的一系列攻击活动，其攻击意图主要在于长期监控和窃取机密文件，受害者主要集中在我国华北和沿海地区，被攻击目标主要包括政府机构、新闻媒体、大型国企、外贸企业等行业，占比最大的为外贸及涉外机构。在这三年多的时间内，该组织不断更新后门框架，持续对目标发起攻击。

2020年5月，卡巴斯基阻止了Internet Explorer恶意脚本对一家韩国公司的攻击。进一步分析发现，该攻击使用了以前未知的攻击链，该链包括两个0day漏洞：Internet Explorer的远程代码执行漏洞和Windows的特权提升漏洞。与我们在Operation WizardOpium中使用的以前的攻击链不同，新的攻击链针对的是Windows 10的最新版本，而我们的测试表明可以稳定地利用的版本为Internet Explorer 11和Windows 10的18363 x64版本。

安天CERT于2020年4月20日发现APT组织Darkhotel在近期的威胁行为，并持续跟进分析。在这次事件中，Darkhotel组织的策略是将恶意代码与合法应用捆绑，以往对该组织的披露认为这种捆绑策略是为了伪装恶意代码，即属于ATT&CK初始投递载荷阶段。但实际上，从近期捕获的样本Ramsay组件来看，与合法应用捆绑的恶意代码属于被感染的文件而非伪装的诱饵，属于ATT&CK内网横移渗透阶段，主要用于在隔离网络传播恶意代码。 判定此次Darkhotel渗透活动属于隔离网络有以下四方面原因：第一，假设目标终端部署杀软，则文件感染的方式很容易被检出，但根据活跃样本的狩猎情况并未发现更多的样本，说明Darkhotel活动限于特定的目标；第二，办公场景的应用安装包多数来自于共享盘下载或者同事之间的信任分享，尤其在隔离网络场景，无法去应用官网下载；第三，早期有关Darkhotel的披露中，如果缺少组件则会通过Powershell下载，但是本次Darkhotel活动的分析中并未涉及网络请求或者下载行为；第四，本次Darkhotel活动不是基于网络协议的C2，而是基于自定义的文件传输控制指令，当Ramsay扫描到被带入隔离网络环境的感染文档，则读取对应的指令并执行指令对应的载荷对象作为攻击利器在隔离网络传播。

ESET研究人员在VirusToal发现了一个之前未曾披露过的新型恶意框架，该框架用于收集受害者机器上的敏感文档等信息，ESET将该框架命名为Ramsay。 根据ESET的观测显示，自2019年到目前，已有三个版本的Ramsay框架在野利用。分别通过CVE-2017-0199/CVE-2017-11882恶意文档以及7zip安装程序作为攻击媒介。表明该框架仍在不断进行升级换代。且该框架与传统恶意软件不同，Ramsay没有基于网络的C＆C通信协议，也不会主动去尝试连接远程服务器。获取控制指令只要靠扫描所有的网络共享以及可移动磁盘中的具有特殊标记的文件，从中读取命令执行。 ESET根据Ramsay组件中的某些代码片段发现，该框架与Darkhotel的Retro后门存在相似性，例如多个相同的字符串，相似的解密算法。同时，在恶意文档的元数据中，还存在着韩语相关的信息。

2020年1月15日，360捕获了首例同时利用IE浏览器和火狐浏览器两个0day漏洞进行的复合攻击，并将其命名为"双星"0day漏洞(CVE-2019-17026、CVE-2020-0674)攻击。通过分析溯源判定，"双星"0day漏洞是被活跃近十余年的APT组织Darkhotel(APT-C-06)所利用，主要针对中国商贸相关的政府机构进行攻击。攻击者利用office漏洞文档、网页挂马和WPAD本地提权的多种方式进行攻击。攻击者可以直接利用双星漏洞进行网页挂马攻击，但同时还发现了一例Office漏洞(CVE-2017-11882)文档触发的双星漏洞，其默认打开IE浏览器访问恶意网页触发"双星"漏洞进行攻击。最终的木马程序会接受固定URL地址的C2命令，在受害者计算机中执行任意操作。

paloalt对来自伊朗的高级威胁做个详细的描述，报告APT组织，APT组织的攻击活动，TTP 战法对应的ATTCK 、详细的IOC 信息等

最近，卡巴斯基安全研究人员曝光了WizardOpium攻击行动，攻击者在朝鲜新闻门户主页上插入恶意JavaScript代码，进行水坑式注入攻击。该活动利用Chrome音频组件漏洞(CVE-2019-13720)来执行任意代码，从而下发最终恶意软件。漏洞利用程序尝试使用递归函数创建大量对象，从而开始堆喷寻找在内存未释放的指针进行利用，并在最终执行Shellcode代码，运行嵌入的Payload。然后下载加密的二进制文件(worst.jpg)并解密，恶意软件会将updata.exe释放到磁盘上并执行。为了达到持久化，该恶意软件会在Windows任务计划列表中安装任务。然后会从硬编码的C2服务器中下载下一阶段木马。该攻击行动疑似来自黑客组织Darkhotel。

卡巴斯基实验室（Kaspersky Lab）一个存在长达七年的网络间谍组织正把攻击目标锁定在全球大型企业的高管身上。他们通过高级持续性威胁（APT）攻击，通过恶意无线网络、P2P种子陷阱、特制的高级鱼叉式网络钓鱼攻击技术，利用0day漏洞利用程序和键盘记录器，从生产制造、国防、投资资本、私人股权投资、汽车等行业的企业高管经常出入的豪华酒店的网络中窃取信息。卡巴斯基实验室（Kaspersky Lab）的安全研究员把这一威胁命名为“DarkHotel APT”，DarkHotel APT组织的攻击者有能力提前知晓攻击目标（企业高管）的酒店入住时间以及退房时间。Kaspersky通过sinkhole logs and KSN data 分析大多数受害者在日本、台湾、中国、俄罗斯、韩国和香港。