安全情报企业爆料：一段视频攻陷我国多家企业

此木马会对电脑上的所有杀毒软件做详尽排查。从逆向生成的代码分析，此木马内含有一份包括国内外近百个主流杀毒软件的名单。如果检测到了名单上的任何一个杀毒软件，木马都会选择蛰伏，不会主动进行攻击。

此木马会对运行环境进行“沙箱测试”。所谓沙箱，就是安全软件在面对可疑文件时，为了辨别文件是否含有木马病毒，而模拟出一个对可疑文件进行隔离测试的运行环境。该木马一旦发现自己运行在沙箱之中，就不会再进行任何攻击动作。

此木马的攻击行为调用了微软1999年引入的一个极其冷门的HTA格式文件。从这一点上可以看出，木马的制作者对于微软系统做过非常深入的分析。

团伙已被锁定，攻击仍在持续：

通过对这个样本文件的关联分析，锁定到该团伙正是在亚洲活跃了九年的著名境外黑客组织。这个组织曾被卡巴斯基的研究员命名为DarkHotel(暗黑客栈)。可以基本确定，该组织最迟从2007年开始逐渐活跃，采用多种老练的手段以及行人追踪技术引诱受害者上钩。他们进攻的主要目标都集中在亚洲，而且以中国为主，并零星分布在日本、韩国和东南亚。此次DarkHotel发起的威胁攻击从2015年12月24日开始一直持续到现在，被攻击的国家和地区包括：中国、俄罗斯和朝鲜。

虽然国内安全公司已发布了通告，Adobe也发布了安全补丁，但通过微步在线的最新威胁情报表明，2016年1月4日又有中国企业被攻陷。说明了这种手法极其隐秘，并且充分利用了人性的特点。仅从本次攻击来看，他们的目标非常明确——中国企业。通过对比以往的资料可以看出，他们有可能一直在攻击中国企业，并且截止到1月13日，部分样本已经可以被少部分安全厂商查杀，但依然有一些样本至今不能被检出。

从背景上分析，虽然历次攻击都是针对商业公司，但本次攻击中所采用的Flash播放器0day漏洞在市场上的价格大约为20-60万人民币。如果这个漏洞是DarkHotel自己挖掘的，那么他们需要有相当强的技术实力。如果这个漏洞是他们购买得来的，则需要雄厚的资金实力。微步在线的安全分析师判断，想要做到DarkHotel的成绩，至少需要数百万的资金投入。