韩国DarkHotel黑客袭击了澳门的豪华酒店

从2021年11月下旬到2022年1月中旬，澳门中国特别行政区的豪华酒店成为恶意鱼叉网络钓鱼攻击的目标。

Zscaler的研究人员Sahil Antil和Sudeep Singh说，DarkHotel自2007年以来一直活跃，DarkHotel有“通过渗透的酒店Wi-Fi网络，以及通过矛式网络钓鱼和P2P攻击，将恶意代码上传到他们的计算机上，以此打击高级企业高管”的历史。重点打击的行业包括执法、制药和汽车制造商。

攻击链包括向酒店的执行人员（如人力资源副总裁、助理经理和前厅部经理）发送电子邮件，表明入侵的目标是拥有酒店网络访问权限的员工。

在12月7日发送给17家不同酒店的一封网络钓鱼诱饵中，这封邮件据称来自澳门政府旅游局，并敦促受害者打开一个名为信息.xls”（“information.xls”）。在另一个案例中，这些电子邮件是伪造的，目的是收集入住酒店的人的详细信息。

当打开带有恶意软件的Microsoft Excel文件时，会诱使收件人启用宏，触发一个利用链，从受损机器收集敏感数据，并将其过滤回远程命令和控制（C2）服务器（“fsm gov.]com），它模仿密克罗尼西亚联邦（FSM）的政府网站。

Trellix的研究人员Thibault Seret和John Fokker在上周发布的一份报告中说：“该IP被演员用来投放新的有效载荷，作为设置受害者环境进行系统信息过滤的第一步，以及可能的下一步。”。“这些有效载荷被用来瞄准澳门的主要连锁酒店，包括路环大度假村和永利宫。”

同样值得注意的是，尽管之前已公开披露，C2服务器IP地址仍保持活动状态，并且它被用于为针对MetaMask cryptocurrency钱包用户的无关凭证获取攻击提供钓鱼页面。

据称，这项运动必须在2022年1月18日与澳门的CVID-19案件的出现相符合，这必然会取消或推迟在目标酒店中举行的一些国际贸易会议。

研究人员说：“该组织正试图为未来涉及这些特定酒店的运动打下基础。”“在这场战役中，CVID-19的限制在威胁者的引擎上制造了一个扳手，但这并不意味着他们放弃了这种方法。”