2015年12月31日，微步在线对一起利用Flash零日漏洞的APT攻击做了分析和预警，并通过溯源分析确定了其幕后的黑客组织为“DarkHotel”。此后，通过我们的持续监控跟踪，发现DarkHotel的定向鱼叉式攻击依然在继续，主要目标为我国境内企业及其管理层人员，且有多起成功攻击案例。因此微步在线决定进一步披露攻击中所利用的手段和技术，并全面公开相应的威胁情报IOC(攻陷指标)，与业界共同携手抵御来自境外势力的APT攻击。

0x00 攻击概况

微步在线的监测数据和分析显示，此次DarkHotel发起的定向攻击从2015年11月起一直持续到现在，被攻击的国家地区包括：

• 中国
• 俄罗斯
• 朝鲜

同时，我们注意到这个境外组织对中国存在异乎寻常的兴趣和关注，可以认为中国是它主要的攻击目标之一，除本次行动外：

• 2014年卡巴斯基发现该组织利用Flash 0day（CVE-2014-0497）对中国境内的3个163.com邮箱用户进行定向攻击；
• 在之前的攻击中，该组织使用了163pics.net、163services.com作为C2C域名，此次又使用manage-163-account.com的C2C域名，这说明攻击者对中国有一定了解并且尝试在特殊环境下进行结合社会工程学进行鱼叉式攻击。

0x01攻击渠道

此次攻击的渠道是通过鱼叉式钓鱼邮件定向发给被攻击对象。整体流程如下图：

[1] [2] [3] [4] [5] [6]  下一页