Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

DarkHotel: эволюция атак и защита от обнаружения

2 мин
Организация DarkHotel, основанная в 2014 году и имеющая связи с интересами правительства Корейского полуострова, значительно расширила свои операции. Ранее они фокусировались на атаках в отелях класса люкс, но теперь их стратегическое таргетирование охватило более широкий спектр секторов, таких как: Это делает DarkHotel активным участником APT (Advanced Persistent Threat), что отражает их возможности в проведении атак на соседние страны. Недавние действия, зафиксированные командой Knownsec 404 Advanced Threat Intelligence, подчеркивают использование DarkHotel сложных методов, включая: Эти технологии позволяют загружать целевые вредоносные библиотеки DLL, увеличивая запутанность их полезной нагрузки. Стратегическая обфускация кода создаёт значительные трудности для анализа и обнаружения. Прошлые инциденты показали, что DarkHotel неоднократно использует алгоритмы исключения для шифрования и дешифрования, добавляя дополнительный уровень сложности в ходе атак. В своей последней атаке групп
Оглавление

Организация DarkHotel, основанная в 2014 году и имеющая связи с интересами правительства Корейского полуострова, значительно расширила свои операции. Ранее они фокусировались на атаках в отелях класса люкс, но теперь их стратегическое таргетирование охватило более широкий спектр секторов, таких как:

  • Внешняя торговля
  • Государственные учреждения
  • Исследовательские институты
  • Военная промышленность

Это делает DarkHotel активным участником APT (Advanced Persistent Threat), что отражает их возможности в проведении атак на соседние страны.

Сложные методы атаки и уклонение от обнаружения

Недавние действия, зафиксированные командой Knownsec 404 Advanced Threat Intelligence, подчеркивают использование DarkHotel сложных методов, включая:

  • Использование подписанных Microsoft системных программ для загрузки вредоносных DLL-файлов.
  • Адаптацию атак на основе системного языка жертвы с помощью специальных вызовов Windows API, таких как GetUserDefaultUILanguage() и GetSystemDefaultUILanguage().

Эти технологии позволяют загружать целевые вредоносные библиотеки DLL, увеличивая запутанность их полезной нагрузки. Стратегическая обфускация кода создаёт значительные трудности для анализа и обнаружения.

Модульная конструкция и высокая степень защиты

Прошлые инциденты показали, что DarkHotel неоднократно использует алгоритмы исключения для шифрования и дешифрования, добавляя дополнительный уровень сложности в ходе атак.

В своей последней атаке группа изменила подход, разделив компоненты дистанционного управления, такие как Meterpreter, от оперативных функций, включая:

  • Ведение кейлогга
  • Захват экрана
  • Кража данных с USB-накопителя

Эта модульная конструкция позволяет DarkHotel поддерживать оперативную целостность и минимизировать риск неудачи всей атаки при обнаружении одного компонента.

Заключение

Стратегическая эволюция методологии DarkHotel отражает постоянное стремление группы к совершенствованию своих систем защиты от атак и повышению шансов на успех при уклонении от обнаружения. Такие действия подчеркивают важность постоянного мониторинга и обновления средств киберзащиты для противодействия современным угрозам.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "DarkHotel: эволюция атак и защита от обнаружения".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Обзоры отелей
66,4 тыс интересуются