資安業者FireEye於周二(12/1)披露 ,有一中國駭客集團利用Dropbox雲端服務充當攻擊行動的命令暨控制(CnC)伺服器,且是在今年8月針對香港多家媒體展開魚叉式網釣攻擊(spear phishing)。
FireEye是與Dropbox共同調查此一中國先進持續威脅(Advanced Persistent Threat )攻擊的駭客集團,駭客利用合法的社交網站或雲端儲存網站來進行通訊,以躲避偵測。
FireEye分析,中國的駭客集團過去通常鎖定國際的媒體組織,但最近香港媒體也成為中國駭客目標,特別是那些經常報導民運消息的媒體。
所謂的魚叉式網釣攻擊指的是駭客深入分析攻擊對象,並以特定內容吸引受害者點選。例如某個含有惡意程式的附件內容為「港大校友關注組遞信行動」的採訪通知,還有一個附件是「使命公民運動,我們的異象」新聞稿,駭客集團以當下的新聞事件來誘導目標組織或對象開啟惡意檔案,並於受害者電腦上植入名為Lowball的遠端存取工具(Remote Access Tool,RAT)。
Lowball即以合法的Dropbox雲端儲存服務充當CnC伺服器,它利用Dropbox API與硬編碼來存取權杖,並具備下載、上傳及執行檔案的能力。一旦受害者端執行Lowball,它就會呼叫Dropbox API以自Dropbox下載各種指令,並允許駭客取得受害者電腦上或網路上的相關資訊,確定攻擊目標後就會再下載Bubblewrap惡意程式。
Bubblewrap是一個完整功能的後門,可在系統開機時執行,它會蒐集諸如系統版本與主機名稱等資訊,也能檢查、上傳及註冊外掛程式以強化能力。
FireEye還發現了另一個正在進行中、採用同樣模式的攻擊行動,但尚無法確認受害者。