Luxushotels in der chinesischen Sonderverwaltungsregion Macau waren von der zweiten Novemberhälfte 2021 bis Mitte Januar 2022 das Ziel einer bösartigen Spearphishing-Kampagne.
Das Cybersecurity-Unternehmen Trellix führt die Kampagne mit mittlerer Sicherheit auf eine mutmaßliche südkoreanische Advanced Persistent Threat (APT) mit dem Namen DarkHotel zurück und stützt sich dabei auf Untersuchungen, die Zscaler im Dezember 2021 veröffentlicht hatte.
Es wird angenommen, dass DarkHotel seit 2007 aktiv ist und in der Vergangenheit „hochrangige Führungskräfte durch das Hochladen von bösartigem Code auf ihre Computer über infiltrierte Hotel-Wi-Fi-Netzwerke sowie durch Spear-Phishing- und P2P-Angriffe“ angegriffen hat, so die Zscaler-Forscher Sahil Antil und Sudeep Singh. Zu den Zielbranchen gehören Strafverfolgungsbehörden, Pharmaunternehmen und Automobilhersteller.
Die Angriffsketten umfassten die Verteilung von E-Mail-Nachrichten, die an Personen in leitenden Positionen des Hotels gerichtet waren, z. B. an den Vizepräsidenten der Personalabteilung, den stellvertretenden Manager und den Front-Office-Manager, was darauf hindeutet, dass die Angriffe auf Mitarbeiter abzielten, die Zugang zum Hotelnetzwerk hatten.
In einem Phishing-Köder, der am 7. Dezember an 17 verschiedene Hotels geschickt wurde, gab die E-Mail vor, vom Tourismusbüro der Regierung von Macau zu stammen und forderte die Opfer auf, eine Excel-Datei mit dem Namen „信息.xls“ („information.xls“) zu öffnen. In einem anderen Fall waren die E-Mails gefälscht, um Informationen über die Hotelgäste zu sammeln.
Die mit Malware verseuchte Microsoft Excel-Datei verleitete die Empfänger beim Öffnen dazu, Makros zu aktivieren, die eine Exploit-Kette auslösten, um sensible Daten von den kompromittierten Rechnern zu sammeln und an einen entfernten Command-and-Control (C2)-Server („fsm-gov[.]com“) zu übermitteln, der sich als die Regierungswebsite der Föderierten Staaten von Mikronesien (FSM) ausgab.
„Diese IP wurde von dem Akteur genutzt, um neue Payloads abzusetzen, um die Umgebung des Opfers für die Exfiltration von Systeminformationen und mögliche weitere Schritte einzurichten“, so die Trellix-Forscher Thibault Seret und John Fokker in einem letzte Woche veröffentlichten Bericht. „Diese Payloads wurden verwendet, um große Hotelketten in Macau anzugreifen, darunter das Grand Coloane Resort und das Wynn Palace.
Bemerkenswert ist auch die Tatsache, dass die IP-Adresse des C2-Servers trotz früherer öffentlicher Bekanntgabe weiterhin aktiv ist und dazu verwendet wird, Phishing-Seiten für einen nicht damit zusammenhängenden Angriff auf die Benutzer/innen der MetaMask-Kryptowährungs-Wallet zu erstellen.
Die Kampagne soll am 18. Januar 2022 ihr unvermeidliches Ende gefunden haben, als die COVID-19-Fälle in Macau auftraten und eine Reihe von internationalen Handelskonferenzen, die in den betroffenen Hotels stattfinden sollten, abgesagt oder verschoben wurden.
„Die Gruppe versuchte, den Grundstein für eine zukünftige Kampagne zu legen, die genau diese Hotels betraf“, so die Forscher. „Bei dieser Kampagne haben die COVID-19-Beschränkungen den Bedrohungsakteuren einen Strich durch die Rechnung gemacht, aber das bedeutet nicht, dass sie diesen Ansatz aufgegeben haben“.