注册
登录
| 关键词: 骇客 攻击 受害者 Dropbox 伺服器 中国 云端 鱼叉 FireEye 程式 |
资安业者FireEye于周二(12/1)披露,有一中国骇客集团利用Dropbox云端服务充当攻击行动的命令暨控制(CnC)伺服器,且是在今年8月针对香港多家媒体展开鱼叉式网钓攻击(spear phishing)。 FireEye是与Dropbox共同调查此一中国先进持续威胁(Advanced Persistent Threat )攻击的骇客集团,骇客利用合法的社交网站或云端储存网站来进行通讯,以躲避侦测。 FireEye分析,中国的骇客集团过去通常锁定国际的媒体组织,但最近香港媒体也成为中国骇客目标,特别是那些经常报导民运消息的媒体。 所谓的鱼叉式网钓攻击指的是骇客深入分析攻击对象,并以特定内容吸引受害者点选。例如某个含有恶意程式的附件内容为「港大校友关注组递信行动」的采访通知,还有一个附件是「使命公民运动,我们的异象」新闻稿,骇客集团以当下的新闻事件来诱导目标组织或对象开启恶意档案,并于受害者电脑上植入名为Lowball的远端存取工具(Remote Access Tool,RAT)。 Lowball即以合法的Dropbox云端储存服务充当CnC伺服器,它利用Dropbox API与硬编码来存取权杖,并具备下载、上传及执行档案的能力。一旦受害者端执行Lowball,它就会呼叫Dropbox API以自Dropbox下载各种指令,并允许骇客取得受害者电脑上或网路上的相关资讯,确定攻击目标后就会再下载Bubblewrap恶意程式。 Bubblewrap是一个完整功能的后门,可在系统开机时执行,它会搜集诸如系统版本与主机名称等资讯,也能检查、上传及注册外挂程式以强化能力。 FireEye还发现了另一个正在进行中、采用同样模式的攻击行动,但尚无法确认受害者。 |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
