Macao | Les pirates DarkHotel ciblent les hôtels de luxe
Les hôtels de luxe de la région administrative spéciale chinoise de Macao ont subi une campagne malveillante de harponnage. Comment les pirates ont orchestré ces attaques entre la seconde moitié de novembre 2021 et la mi-janvier 2022 ?
La société de cybersécurité Trellix a attribué cette menace persistante avancée ç un groupe sud-coréen dénommée DarkHotel. (..)Depuis 2007, ces harponneurs ont frappé des cadres supérieurs d’entreprises en infiltrant les réseaux Wi-Fi d’hôtels. Par conséquent, les victimes téléchargent à leur insu des codes malveillants sur leurs ordinateurs. De plus, les pirates y associent des attaques de spear-phishing et de P2P.
Les pirates DarkHotel usurpent l’Office du tourisme
Les chaînes d’attaque ont consisté à distribuer des messages électroniques. Les criminels ont adressé des courriels-espions à des individus qui occupaient des postes d’administration dans l’hôtel. De ce fait, le vice-président des ressources humaines, le directeur adjoint et le directeur de la réception en sont notamment les victimes. En effet, les intrusions visaient le personnel en possession d’un accès au réseau de l’établissement.
Récemment, les pirates sont passés à l’hameçonnage dans 17 hôtels différents. Dans un cas, un e-mail invitait les proies à ouvrir un fichier Excel nommé « 信息.xls » (« information.xls ») le 7 décembre. Les hackers prétendaient être l’Office du tourisme du gouvernement de Macao. Dans un autre cas, les courriels ont été truqués pour recueillir des détails sur les personnes qui séjournaient dans les gîtes.
Une fois lancé, le classeur Microsoft Excel contenant le malware incitait les destinataires à activer les macros. Puis, une chaîne d’exploitation se déclenchait. En effet, les malfaiteurs ont relié leur manœuvre à un serveur de commande et de contrôle (C2) distant. Par conséquent, les données sensibles des machines compromises y ont été collectées et exfiltrées. Les pirates s’y sont parvenus en se camouflant dans le site Web fictif du gouvernement des États fédérés de Micronésie (FSM).
Des mesures restrictives stopperaient les attaques malveillantes
Le pire dans la situation est que l’adresse IP du serveur C2 est restée active. De plus, elle est aussi employée pour servir d’autres pages d’hameçonnage malgré une divulgation publique antérieure. Les renseignements d’identifications des usagers du portefeuille de cryptomonnaies MetaMask en sont infectés. (…) Lire la suite sur Buzz Webzine
