APT DarkHotel Targetkan Hotel Mewah di Makau

APT DarkHotel Serang Hotel Makau - Dalam kurun waktu dari paruh kedua November 2021 hingga pertengahan Januari 2022, hotel-hotel mewah di wilayah administrasi khusus China, Makau, menjadi sasaran serangan spear phishing yang sangat berbahaya. Trellix, perusahaan keamanan siber terkemuka, mengidentifikasi bahwa serangan ini dilakukan oleh Advanced Persistent Threat (APT) dari Korea Selatan yang dikenal sebagai DarkHotel, sesuai dengan penelitian yang sebelumnya dipublikasikan oleh Zscaler pada Desember 2021.

DarkHotel telah aktif sejak tahun 2007 dan dikenal karena fokusnya pada "pemimpin perusahaan teratas dengan mengunduh kode berbahaya melalui jaringan Wi-Fi hotel yang disusupi, serta serangan spear phishing dan P2P." Penelitian oleh Sahil Antil dan Sudeep Singh dari Zscaler mengungkap bahwa sektor-sektor seperti penegak hukum, industri obat-obatan, dan manufaktur mobil termasuk di antara yang sering diserang oleh kelompok ini.

Serangan ini melibatkan pengiriman pesan email kepada orang yang memiliki peran penting di hotel, termasuk VP HR, asisten manajer, dan manager front office. Hal ini menunjukkan bahwa target utama adalah pekerja yang memiliki akses ke jaringan.

Pada tanggal 7 Desember, email phishing dikamuflase sebagai kiriman dari Kantor Pariwisata Pemerintah Macau, meminta penerima untuk membuka file Excel dengan ekstensi ".xls" ("information.xls"). Dalam contoh lain, email dipalsukan untuk memperoleh informasi tentang tamu hotel.

Analisa Serangan DarkHotel

Ketika file Microsoft Excel yang berisi malware dibuka, penerima dikelabui untuk mengaktifkan makro, memicu serangkaian eksploit untuk mengumpulkan dan mengekstrak data sensitif dari mesin yang disusupi. Data ini kemudian dikirim kembali ke server command-and-control (C2) yang beroperasi dari jarak jauh dengan menyamar sebagai situs web pemerintah Federated States of Micronesia (FSM) dengan alamat "fsm-gov[.]com".

Para peneliti Trellix, Thibault Seret dan John Fokker, menyoroti bahwa alamat IP server C2 tetap aktif, bahkan setelah terungkap ke publik. Alamat ini digunakan untuk mengirimkan halaman phishing, termasuk serangan pengambilan kredensial terpisah yang diarahkan pada pengguna dompet crypto MetaMask.

Serangan ini diprediksi akan mencapai puncaknya pada 18 Januari 2022, seiring dengan peningkatan kasus COVID-19 di Makau. Dampaknya, sejumlah konferensi perdagangan besar yang dijadwalkan berlangsung di hotel-hotel target mengalami pembatalan atau penundaan.

Menurut para peneliti, kelompok ini sepertinya berusaha membangun fondasi untuk serangan masa depan yang akan ditujukan khusus pada hotel-hotel ini. Meskipun batasan terkait COVID-19 menimbulkan kendala pada eksekusi serangan, ini tidak berarti bahwa mereka mengabaikan teknik ini. Ancaman spear phishing dan APT seperti DarkHotel tetap menjadi perhatian serius dalam upaya menjaga keamanan siber di berbagai sektor industri.