国内**威胁情报创业公司微步在线今日对外宣传，2015年圣诞前夕，Adobe公司旗下Flash播放器的修复漏洞被黑客利用。目前，名为DarkHotel的国际黑客组织，从2015年12月24日开始一直持续到现在，始终持续在攻击中国、俄罗斯和朝鲜。

微步在线还表示，部分样本已经可以被少部分**厂商查杀，但依然有一些样本至今不能被检出。

以下为微步在线报告全文：

源起：

2015年圣诞节前夕，Adobe公司宣布修复旗下Flash播放器的多个漏洞进行了修复。但该事件却没有随着漏洞的修复而结束。经调查，其中一个漏洞已经被他人“利用”过。这个漏洞编号为：CVE-2015-8651。

Adobe**响应中心公告

Adobe官方**公告中，值得注意的是：该漏洞已经被用于针对性的定向攻击。

威胁情报中的猛料：

微步在线借助广泛的数据和威胁来源，监控到了攻击者所使用的工具：一个word文档。攻击模式为：此word文档内附带一个链接，该链接指向一段Flash视频，在攻击目标观看视频时，攻击者利用Flash播放器漏洞自动向电脑里植入木马。

从文档内容可以看出，黑客对攻击对象非常熟悉，文档的内容和逻辑也合情合理，很容易让攻击对象做出打开文末链接的举动。然而不幸的是，一旦文中的链接被点开，就相当于落入了黑客的圈套。

本次事件的锁定对象并非一般个人，而是特定的公司或组织成员。因此，受窃信息也并非一般网络钓鱼所窃取的****，而是具有高度敏感性的资料，如智慧财产权及商业机密等。这种攻击模式就是所谓的鱼叉式网络钓鱼攻击。

通过对木马样本进行分析，可以发现此次攻击手段有如下高深之处：

此木马会对电脑上的所有杀毒软件做详尽排查。从逆向生成的代码分析，此木马内含有一份包括国内外近百个主流杀毒软件的名单。如果检测到了名单上的任何一个杀毒软件，木马都会选择蛰伏，不会主动进行攻击。

此木马会对运行环境进行“沙箱测试”。所谓沙箱，就是**软件在面对可疑文件时，为了辨别文件是否含有木马病毒，而模拟出一个对可疑文件进行隔离测试的运行环境。该木马一旦发现自己运行在沙箱之中，就不会再进行任何攻击动作。

此木马的攻击行为调用了微软1999年引入的一个极其冷门的HTA格式文件。从这一点上可以看出，木马的制作者对于微软系统做过非常深入的分析。

团伙已被锁定，攻击仍在持续：

通过对这个样本文件的关联分析，锁定到该团伙正是在亚洲活跃了九年的**境外黑客组织。这个组织曾被卡巴斯基的研究员命名为DarkHotel(暗黑客栈)。可以基本确定，该组织*迟从2007年开始逐渐活跃，采用多种老练的手段以及行人追踪技术引诱受害者上钩。他们进攻的主要目标都集中在亚洲，而且以中国为主，并零星分布在日本、韩国和东南亚。此次DarkHotel发起的威胁攻击从2015年12月24日开始一直持续到现在，被攻击的国家和地区包括：中国、俄罗斯和朝鲜。

虽然国内**公司已发布了通告，Adobe也发布了**补丁，但通过微步在线的*新威胁情报表明，2016年1月4日又有中国企业被攻陷。说明了这种手法极其隐秘，并且充分利用了人性的特点。仅从本次攻击来看，他们的目标非常明确——中国企业。通过对比以往的资料可以看出，他们有可能一直在攻击中国企业，并且截止到1月13日，部分样本已经可以被少部分**厂商查杀，但依然有一些样本至今不能被检出。

从背景上分析，虽然历次攻击都是针对商业公司，但本次攻击中所采用的Flash播放器0day漏洞在市场上的价格大约为20-60万人民币。如果这个漏洞是DarkHotel自己挖掘的，那么他们需要有相当强的技术实力。如果这个漏洞是他们购买得来的，则需要雄厚的资金实力。微步在线的**分析师判断，想要做到DarkHotel的成绩，至少需要数百万的资金投入。

情报驱动，马上行动：

针对本次事件的特殊性，微步在线已经**时间向公司客户及国内**企业分享了本次事件相关信息。现阶段，面对越来越**别的攻击行为，国内企业不仅需要做好基础防护，更需要做到快速发现威胁和迅速响应，才能防患于未然。未来我们中国的企业是否能做的更好？