【科讯】APT组织开“黑店” 腾讯智慧安全“御界”展开全面防御

本篇文章1008字，读完约3分钟

近年来，随着数据价值的暴露，非法黑客以政府部门和重要领域为目标开始了apt攻击。 迄今为止，腾讯智能安全御见威胁信息中心一直在暴露高端商务人士、重要人士的精准攻击apt组织darkhotel (黑店)。 最近，该中心再次发现darkhotel (黑店) apt组织与东北亚相关人物和要害部门的apt攻击进行了比较。 目前暂时还没有发现这匹特洛伊木马在国内活动，但腾讯的计算机管家警告广大顾客和相关机构，有必要进行互联网安全相关的防御业务。

darkhotel (黑店) apt组织的攻击目标是入住高端酒店的商人和相关部门的重要人员，攻击入口是酒店wifi互联网，目标群体访问酒店wifi时会受到攻击。 该组织技术力量雄厚，今年新曝光的cve--8174、cve--8373等多次攻击行动中曾使用0day进行攻击。 腾讯智能安全御见威胁信息中心长时间跟踪syscon/sanny后门程序的结果是，该后门一直使用ftp协议进行C通信，有强大的回避技术和uac技术，最新版本的后门多段实

根据解体，在新的攻击活动中，这个组织依然使用最常见的叉子攻击方法，攻击的魅力诱饵有两个，都与东北亚问题有关。 在攻击载体的选择中，这个组织选择以前传达的word文件，通过在word文档中嵌入恶意宏代码来实现攻击。 如果用户为了启用宏而特意将字体变更为非常浅的颜色，则顾客无法阅览，但如果顾客启用宏，则显示为以后容易阅览的黑色。

与以往的攻击相比，这次攻击的代码大部分放在云中，vba脚本中只保存了非常简单的几行代码，云控制的安装过程可以灵活地控制特洛伊木马的传递和感染过程。 另外，cab压缩包文件也存储在两个云中，用bat脚本评估本地系统后，根据需要下载。 另外发现syscon后门和东北亚重要的人攻击的konni后门非常相似。 因为这个腾讯安全技术人员正在评估作为攻击组织的两个后门。

(腾讯智慧安全御界高级威胁检测系统)

对此，腾讯电脑管家安全专家、腾讯安全病毒对策实验室的负责人向客户小心连接公众的wi-fi互联网，进行软件升级等操作，以免打开来源不明的邮件附件 如果必须连接到公众的wi-fi互联网，请不要进行可能泄露机密新闻和隐私新闻的操作，例如邮件、im通信、银行汇款等。 而且，政府和公司客户建议采用腾讯智能安全御界的高级威胁检测系统，通过御界的apt邮件网关处理恶意邮件攻击的威胁，切实保护公司自己的互联网安全。