最近一個高級持續性威脅(APT)組織一直在對中國澳門的豪華酒店開展魚叉式釣魚攻擊活動，其目的是為了破壞它們的網絡設施并竊取那些住在度假村的有高知名度的客人的敏感數據。這些被攻擊的酒店就包括了路環度假村和永利皇宮。

Trellix的一份威脅研究報告大致確定韓國的DarkHotel APT組織是這些攻擊背后的罪魁禍首。

研究人員說，此次魚叉式網絡釣魚攻擊活動始于11月末，犯罪分子將一些載有惡意Excel宏文件的電子郵件發送到了可以訪問酒店網絡的管理層的郵箱中，其中就包括了人力資源和辦公室經理。

在其中的一次攻擊中，釣魚郵件在12月7日發送到了17家不同的酒店中，并偽造該郵件是由澳門政府旅游局發出的，其攻擊目的在于收集這些酒店所住用戶的信息。這些郵件要求收件人打開一個標有 "旅客查詢 "的Excel附件文件。

Trellix公司的威脅研究人員說，電子郵件的內容要求用戶打開附件中的文件，并回信說明這些人是否住在酒店里?該郵件的署名是旅游局檢查處。

研究人員懷疑DarkHotel竊取數據計劃在未來進行攻擊

報告說，Trellix大致能夠將這些攻擊歸咎于DarkHotel組織，因為他們的指揮和控制服務器(C2)的IP地址以前曾與該組織有過聯系;DarkHotel經常以酒店為攻擊目標，并且在C2中發現的設置模式與已知的DarkHotel的活動模式非常相符。

Trellix團隊說，我們目前對此還沒有一個很高的確信度，因為這個IP地址在被公開曝光后仍然活躍了相當長的一段時間，而且該IP地址還進行了其他的與該威脅無關的網絡攻擊。這些觀察結果使得我們在調查歸因方面更加的謹慎。

Trellix團隊解釋說，用戶一旦打開了該文件，這些惡意的宏代碼就會與C2服務器建立聯系，開始從酒店網絡中滲透竊取數據。

Trellix在報告中補充說，進行惡意攻擊的命令和控制服務器曾經試圖冒充密克羅尼西亞聯邦合法政府網站的域名。然而，真正的密克羅尼西亞網站域名是'fsmgov.org'。

Trellix團隊說，他們懷疑攻擊者只是在收集數據，以便日后進行利用。

Trellix研究人員報告說，在研究了目標酒店的活動議程后，我們確實發現了多個威脅行為者可能會感興趣的會議，例如，一家酒店正在舉辦國際環境論壇和國際貿易與投資博覽會，這兩個活動都會吸引潛在的間諜活動攻擊。

該團隊說，魚叉式網絡釣魚活動于1月18日停止。

由于COVID-19的流行停止了會議

也就是說，由于COVID-19的大流行取消或推遲了這些活動，這才給了執法部門時間去抓獲嫌疑人。到2021年12月，澳門治安警察局收到了警察局網絡安全事件警報和應急中心的通知，一個治安警察局官方網頁的域名被用來傳播惡意軟件以及實施非法行為。

Trellix報告補充說，犯罪分子除了對酒店進行攻擊以外，其他的犯罪活動都用了同一個C2 IP地址，據研究該C2可能是由DarkHotel所控制，他們曾經用了一個具有欺騙性的Collab.Land釣魚頁面去攻擊MetaMask加密貨幣用戶。

DarkHotel組織長期以來一直以中國用戶為攻擊目標。2020年4月，該APT組織對中國虛擬私人網絡(VPN)服務提供商SangFor進行了攻擊，該服務提供商被大量的機構所使用。據報道，到該月第一周結束時，至少已經有200個端點被入侵。

大約在同一時間，在COVID-19大流行開始時，DarkHotel就以世界衛生組織的系統為攻擊目標。

像這樣的攻擊足以表明，存儲在酒店網絡中的數據對威脅者來說是多么有吸引力。Trellix團隊建議，酒店經營者應該認識到，網絡安全需要覆蓋到生活的各個方面。Trellix補充說，旅行者同樣需要采取適當的安全預防措施。

報告說，建議旅行者只攜帶有限的必要的設備，并且保持安全系統及時更新，在使用酒店Wi-Fi時盡量使用VPN服務。

本文翻譯自：https://threatpost.com/darkhotel-apt-wynn-macao-hotels/178989/如若轉載，請注明原文地址。