黑客组织疑似瞄准全球酒店旅业,南美或成重点目标

黑客组织疑似瞄准全球酒店旅业,南美或成重点目标

前言

酒店行业,由于行业的性质,包含大量的用户信息,由于利益链的驱使,使其成为黑客关注的对象。

先回顾一下过往酒店行业的相关重点历史事件,

2013年如家、汉庭等大批酒店的开房记录被第三方存储,并且因为漏洞而泄露,影响数据达2000万条。

2016年1月凯悦集团在全球约50多个国家的250多家酒店遭到支付卡数据外泄,而在2017年10月再次爆出全球11个国家的41家凯悦酒店支付系统被黑客入侵,大量数据外泄。

2017年爆出洲际酒店集团遭到黑客入侵,客户信用卡数据遭到泄露,受影响的酒店数量超过1170家。

2018年华住约5亿条用户信息泄露。同年年末万豪宣布,旗下喜达屋的一个顾客预订数据库被黑客入侵可能有多达5亿人次预订喜达屋酒店客户的详细个人信息遭到泄露,经过一段时间调查后,万豪集团将遭到信息泄漏的客户数量修正为3.83亿。

直至目前,黑客仍在持续不断的保持对酒店行业的攻击。

分析

近期,安恒威胁情报中心猎影实验室在威胁分析平台观察到,有黑客组织在不断攻击全球酒店行业、旅游行业等包含丰富用户信息的行业。从监测到的数据来看,巴西成为其主要攻击目标,还有很多受害者包括阿根廷、葡萄牙、西班牙、德国、意大利、墨西哥、哥伦比亚、英国等等。

该组织主要以鱼叉式钓鱼网络攻击来进行攻击活动,并且一直保持技术更新,投递的载荷具有一定的免杀能力。

该组织会通过伪造目标区域比较有名的企业给攻击目标发送邮件,如该邮件所示伪造的发送者是当地的一家能源设备制造商,

发送邮件所使用的邮箱也是经过有意构造。

也包含有精心描述邮件内容的邮件,

邮件描述的内容为房间预订,

邮件主题内容丰富,该组织在邮件内容设计上投入了不少心思。还包括旅业相关主题,

如旅行登记信息、Azul指南、Agaxtur托管等,疑似针对旅业。

主题中提到的内容如:

Azul和蓝色巴西航空相关,

Agaxtur为一家旅游运营公司。

邮件的附件为恶意文档,恶意载荷在不同攻击时间段会有所变化,近期恶意文档大致执行流程如下:

如样本”AZ TRAVEL DADOS CADASTRAIS – 2020.xlam”

包含恶意宏代码

通过mshta访问

  • https://microsofft.sslblindado[.]com/arquivos/carnaval.hta

执行代码,

carnaval.hta的内容

写出后的内容即为

通过Powershell远程下载执行JS payload,

JS的内容被严重混淆,

逐步进行解密,如解密关键函数,

仍然不易理解,再解密出部分关键数据,

可以看到载荷实际为vjw0rm,连向的C2地址为http://strongerddns.ddns[.]net:7974。

Vjw0rm可以将搜集的基础信息发送给服务端,并还有命令与控制(C2)能力,还允许分发更多的有效载荷到目标机器进行进一步控制。

组织调查

该组织从数年前就开始攻击活动,2019年开始活动尤其活跃。这一阶段的攻击活动是RevengeHotels和Roma225网络间谍活动的直接延续。该组织曾使用过多款通用远控工具,包括RevengeRAT、NjRAT、NanoCoreRAT等,近期以vjw0rm为主作为载荷进行网络钓鱼攻击。

在攻击手法上和Gorgon组织有一定的相似性,包括攻击模式,载荷投递阶段,最终载荷等。但Gorgon组织主要针对英国、西班牙、俄罗斯和美国的政府机构发起攻击活动,据有关数据表示Gorgon组织具有巴基斯坦背景。而这个组织立足巴西,对南美地区状况有一定的了解。

在对攻击样本梳理过程中整理出了部分攻击文档的创建者和修改者的名称,这些名称比较明显的和巴西相关。

猜测该组织为来自巴西地区相关的黑产组织。

防御建议与总结

企业应当注重培养人员安全意识,不轻易打开未知来源的邮件及附件,不随意点击未知链接,不随意打开未验证可靠来源的文档。及时为信息系统打好补丁。

部署安恒APT预警平台,安恒APT预警平台能够发现已知或未知的威胁,APT预警平台的实时监控能力能够捕获并分析邮件附件投递文档或程序的威胁性,并能够对邮件投递,漏洞利用、安装植入、回连控制等各个阶段做强有力的监测。结合安恒威胁情报系统,可将国内外的威胁数据进行汇总,并分析整个攻击演进和联合预警。

猎影威胁分析团队将持续关注网络安全动态。

IOC:

Hash:(不完全)

3f517d0d1c3d50eb64e7e0dc4829b7f5

0a5bf61de4845ffd22723ce0d07d4497

3cc75991a1f2da706f82beb3a6dd0be2

59441be910be3d6c6c4a271238953633

d8008b9b87d9b5d06c92d214003da875

7e04708bcf6db40e1366b81d256362c5

32d1fd25aeea4d5ec0e4ded91db03e28

21688015c5f109fce8827ed68199f21d

f660fd2c9fd020a9dadd2d9ed20054e3

9ba847a547b223cbe0f2cf78fc4ee772

49ccb40539bfe345c31218d2b0d7de0d

fd97aec68ddb98ed5de895853513d4f2

6e2a5b16a2095d0e5631e0354b81096f

0d4c6c44a062d2106654c57698c3c991

741c01cb64bbb87f22db799a501b21bb

4456f3fbfbccad658baa6034becf92dc

7dd518c3465dfa65efb67866643eab74

f41aaccfd157801ef90de5e2ad5150df

ba6dc04e8cff6410da747a5593eb7c26

c9b2d0d373093db47a0c846dac6bb2c2

3120fb0890827e027d04dbb45ee7b3ea

7aed226d64edee9a2cc98b8848bdd212

fc66066618ef443e1256d843a3c36973

a2beca29a2d47cde7014dc11dad29f7e

3ae66888c907e57f82665158a1909862

28719111fff35ecfce767925bd43725f

e8c7ec887735f5ad895f53ee9347ac18

cbbe4f9e3beb39089febc8af72936453

2eb44f20c8fcb99040c487607e9086fd

ee9b4d7ee7da6f36f89859df54d1f662

66b1fe98d5a5c274f97513993874f57e

00a079bb462a114eaf0022a502756b01

d3e0b8a720d11c1eb8591f2748150285

736f68eeb03a106554bc4b16291ff5c3

5adac21768ff14130ae07c41ee75aee0

eb506b68574308b3d09c71cd873e059f

3e7d346ed3df701d2a05fb3dc10ceb48

1dc90fc36c7131b9539bc9277018a861

d3c802578ecb37462c5dd112bf0fbbf1

0c3217c7b1bad72ef27d5f7cc9ea8dd9

01439ad20b3e96684e4cb6f978871da1

757810f8eb84c8705dc0ad54ebbf9a83

0d057067883a959ef4b50a31d935689e

d88f009612c4d761877075abbb675dcf

86166587c9020a7a1dcd45f77c9f489f

85e12cab0cf1f599007e693e66f42de8

192373f32c9e6ffc6769ebd9067bcf75

d238b01e3b42bcb919e9f96ab17de747

790a8785a02c04c5f53825a1612b59a3

49d4fd67e28d3f850367ea234a94ba6a

1ed562a8de3a19af217bf1be10c54dbb

94c0be532b5e2c7d7c49c1cab77109d9

9d3696670e45ee302933b4ba57d4eb4f

6fc08f9b0513f6d2c233a0c3f7d37b09

4b3d45d5c7e390b634a723bf15fbbaa7

fcd83e1eac6081462eae491a8f93eb20

ce287fffb38b669e2e7d93fa50b1a31c

domain:(不完全)

microsofft.sytes[.]net

microsofft.sslblindado[.]com

3030pp.hopto[.]org

xploit95.sslblindado[.]com

marcialimaadvogados.ddns[.]net

papu3.ddns[.]net

h11.hopto[.]org

cvcviagens.sslblindado[.]com

paulav1.sytes[.]net

vaiseferrarnoob.duckdns[.]org

mestrecdt.hopto[.]org