图灵汇官网

近年来，随着数据价值日益凸显，黑客群体转向对关键政府机构和产业发动高级持续性威胁（APT）攻击。腾讯智慧安全御见威胁情报中心近期揭露了一起针对特定目标——包括高层商务人员与关键岗位人士——实施精准APT攻击的事件，该攻击行动代号“黑店”。该中心持续追踪“黑店”APT组织，近期发现其再度针对东北亚地区的人物或要害部门进行攻击。

“黑店”APT组织的攻击策略主要针对入住高端酒店的商务人士或相关部门的关键人物。攻击通常通过酒店的无线网络进行，一旦目标用户接入酒店WiFi，即触发攻击。该组织技术实力强大，曾利用零日漏洞（0day）进行攻击，如今年新披露的CVE-2018-8174和CVE-2018-8373等。通过对“黑店”后门程序SYSCON/SANNY的长期监控，腾讯智慧安全御见威胁情报中心发现，该后门程序一直依赖FTP协议进行命令与控制（C&C）通信，并具备高度的规避技术与绕过用户账户控制（UAC）的能力。最新的后门版本则采用多阶段执行、云端控制、绕过UAC等手段，进一步增强了攻击的隐蔽性和逃避检测的可能性。

在新的攻击活动中，“黑店”APT组织继续采用经典的钓鱼攻击策略，利用与东北亚议题相关的诱饵。攻击载体通常是Word文档，其中嵌入恶意宏代码，诱导用户激活宏功能。为吸引用户注意，文档的字体设置为极其淡色，待用户激活宏后，字体颜色才变回易于阅读的黑色。

与过往的攻击相比，此次攻击的大部分代码部署在云端，VBA脚本仅保留少量基本逻辑，实现了灵活的云控化安装流程。此外，攻击者将CAB压缩包文件分拆为两部分，依据本地系统的判断动态下载。分析显示，“黑店”后门与另一款针对东北亚关键人物的KONNI后门共享大量特征，这表明两者可能出自同一攻击组织之手。

腾讯电脑管家的安全专家、腾讯安全反病毒实验室负责人马劲松提出警示，建议用户谨慎处理未知来源的邮件附件，避免在公共Wi-Fi环境下进行敏感操作，如软件更新、银行转账等。同时，他推荐政府及企业用户采用腾讯智慧安全御界高级威胁检测系统，特别是其“御界防APT邮件网关”功能，以有效应对恶意邮件带来的威胁，确保企业网络的安全防护。