您在這裡

中國駭客集團利用Dropbox當網路攻擊命令與控制中心,鎖定繁中新聞媒體

jack 在 二, 12/01/2015 - 11:25 發表

以繁體中文所寫的魚叉式網釣攻擊文件

FireEye威情情報中心發現到一個魚叉式網釣活動,該活動由代號「[email protected]」的中國駭客團體在20158月所發動,專門鎖定使用繁體中文的香港新聞媒體組織。

根據FireEye對網釣信件分析,信中含有名為「LOWBALL」的惡意酬載。LOWBALL濫用了Dropbox雲端儲存服務做為命令與控制 (CnC)中心。FireEye已經與Dropbox合作調查,而且調查還發現到疑似的第二波攻擊行動。

這個駭客組織先前專門利用熱門的新聞事件來吸引收件人開信以散播其惡意程式,而且專門鎖定金融、經濟、貿易政策等組織,而且使用諸如Poison Ivy等遠端存取木馬(RAT)還有一些未公開的後門程式。

現在則開始鎖定香港的新聞傳媒組織,很可能是為回應香港與中國之間的政治與經濟等相關議題。例如,這個組織的最新活動時間與控告香港和平佔中活動成員的時間一致。過去一年來,中國政府面臨許多挑戰,例如2014年底香港的大規模抗議,以及2015年年中的股市大跌,以及2015年八月的天津爆炸案。而在香港,民主運動一直持續。

FireEye指出,中國的網路駭客集團過去以來就已鎖定全球的媒體集團,這次則鎖定了香港的媒體,特別是支持民主的一派。駭客團體滲透到媒體組織裡,將有助於中國政府掌握情報,特別是對於異議人士以及相關活動的情報。

2015年八月間的這波攻擊行動裡,許多香港的新聞媒體都收到這份魚叉式網釣攻擊信件,包括了報紙、無線電廣播,以及電視台等。

先前這個組織的攻擊行動中,魚叉式攻擊信件多用英語撰寫,鎖定的是西方世界。而這次改用繁體中文,因此可能是針對香港而來。

該魚叉式攻擊裡內含三個.doc附檔,利用了微軟Office的舊漏洞(CVE-2012-0158)進行攻擊:

  • 使命公民運動我們的異象.doc
  • 新聞稿及公佈.doc
  • (代發)[采訪通知]港大校友關注組遞信行動.doc

而它的後門程式LOWBALL則以合法的Dropbox雲端儲存服務來做C&C伺服器。使用的Dropbox API具備存取權杖而能夠下載、上傳,甚至執行檔案。並透過443埠以HTTPS進行通訊。

使用者的電腦一旦受到感染,攻擊者就能夠取得其電腦以及所屬網路的資訊,然後進一步利用這些資訊進行滲透攻擊,或者再讓電腦下載其他的惡意程式。同時FireEye已發現利用BUBBLEWRAP 後門的第二階段惡意攻擊。

BUBBLEWRAP 是一個全功能的後門,系統開機就開始執行,可以利用HTTPHTTPS,或者是SOCKS proxy進行溝通。這個後門會蒐集系統資訊,如作業系統版本與主機名稱,還包括了檢查、上載,以及機碼外卦等更多的功能。