Luxehotels in de Chinese speciale administratieve regio Macau waren vanaf de tweede helft van november 2021 tot half januari 2022 het doelwit van een kwaadaardige spear-phishing-campagne.
Cyberbeveiligingsbedrijf Trellix toegeschreven aan de campagne met matig vertrouwen naar een vermoedelijke Zuid-Koreaanse geavanceerde persistente bedreiging (APT) gevolgd als DarkHotel, voortbouwend op eerder gepubliceerd onderzoek Zscaler in december 2021.
DarkHotel is actief sinds 2007 en heeft een geschiedenis van het slaan van “senior business executives door kwaadaardige code naar hun computers te uploaden via geïnfiltreerde wifi-netwerken van hotels, evenals via spear-phishing en P2P-aanvallen”, Zscaler-onderzoekers Sahil Antil en Sudeep zei Singh. Prominente sectoren waarop wordt getarget, zijn onder meer wetshandhavingsinstanties, farmaceutische bedrijven en autofabrikanten.
De aanvalsketens omvatten het verspreiden van e-mailberichten die waren gericht aan personen met leidinggevende functies in het hotel, zoals de vice-president van personeelszaken, assistent-manager en frontofficemanager, wat aangeeft dat de inbraken waren gericht op personeel dat toegang had tot de netwerk van het hotel.
In een phishing-lokmiddel dat op 7 december naar 17 verschillende hotels werd gestuurd, zou de e-mail afkomstig zijn van het Macau Government Tourism Office en werden de slachtoffers verzocht een Excel-bestand met de naam “信息.xls” (“information.xls”) te openen. In een ander geval werden de e-mails vervalst om details te verzamelen over mensen die in de hotels verbleven.
Het malware-geregen Microsoft Excel-bestand, wanneer het werd geopend, misleidde de ontvangers om macro’s in te schakelen, waardoor een exploitketen werd geactiveerd om gevoelige gegevens van de aangetaste machines te verzamelen en terug te exfiltreren naar een externe command-and-control (C2) server (“fsm-gov[.]com”) die zich voordeed als de overheidswebsite voor de Federale Staten van Micronesia (FSM).
“Dit IP-adres werd door de acteur gebruikt om nieuwe payloads te droppen als eerste stappen om de slachtofferomgeving op te zetten voor exfiltratie van systeeminformatie en mogelijke volgende stappen”, zeiden Trellix-onderzoekers Thibault Seret en John Fokker in een rapport dat vorige week werd gepubliceerd. “Die ladingen werden gebruikt om grote hotelketens in Macau aan te vallen, waaronder het Grand Coloane Resort en Wynn Palace.”
Ook opmerkelijk is het feit dat het IP-adres van de C2-server actief is gebleven ondanks eerdere openbaarmaking en dat het ook wordt gebruikt om phishing-pagina’s weer te geven voor een niet-gerelateerde aanval op het verzamelen van inloggegevens gericht op MetaMask-gebruikers van cryptocurrency-wallets.
Er wordt gezegd dat de campagne op 18 januari 2022 zijn onvermijdelijke einde zou moeten bereiken, wat samenviel met de opkomst van COVID-19-gevallen in Macau, wat leidde tot de annulering of uitstel van internationale handelsconferenties die in de beoogde hotels zouden plaatsvinden.
“De groep probeerde de basis te leggen voor een toekomstige campagne met deze specifieke hotels”, aldus de onderzoekers. “In deze campagne gooiden de COVID-19-beperkingen een sleutel in de motor van de dreigingsactor, maar dat betekent niet dat ze deze aanpak hebben verlaten.”
