您的瀏覽器似乎不支援JavaScript語法,但沒關係,這裡的JavaScript語法並不會影響 到內容的陳述, 如需要選擇字級大小,IE6請利用鍵盤按住ALT鍵+ V → X → (G)最大 (L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小, 而IE7或Firefox瀏覽器則可 利用鍵盤 Ctrl + (+)放大(-)縮小來改變字型大小,如需要回到上一頁可使用瀏覽器提 供的 Alt+左方向鍵(←) 快速鍵功能,列印可使用瀏覽器提供的(Ctrl+P)功能。
News Detail Banner

駭客集團利用Dropbox做為C&C伺服器

資安業者FireEye於12/1披露 ,有一中國駭客集團利用Dropbox雲端服務充當攻擊行動的命令暨控制(Command and Control, C&C)伺服器,且在2015/8針對香港多家媒體展開魚叉式網路釣魚攻擊(Spear Phishing)。FireEye是與Dropbox共同調查此一中國進階持續性滲透攻擊(Advanced Persistent Threat, APT)的駭客集團,駭客利用合法的社交網站或雲端儲存網站來進行通訊,以躲避偵測。Spear Phishing是指駭客深入分析特定目標對象,然後製作特定郵件內容來吸引該目標對象點選以進行攻擊。例如某個含有惡意程式的附件內容為「港大校友關注組遞信行動」的採訪通知,還有一個附件是「使命公民運動,我們的異象」新聞稿,駭客集團以當下的新聞事件來誘導目標組織成員開啟惡意檔案,並於受害者電腦上植入名為Lowball的遠端存取工具(Remote Access Tool, RAT)。

Lowball會以合法的Dropbox雲端儲存服務充當C&C伺服器,利用Dropbox API進行存取,並具備下載、上傳及執行檔案的能力。一旦受害者端執行Lowball,它就會呼叫Dropbox API,自Dropbox下載各種指令,並允許駭客取得受害者電腦上或網路上的相關資訊。一旦確定攻擊目標後,就會再下載Bubblewrap惡意程式。Bubblewrap是一個完整功能的後門,可在系統開機時執行,它會蒐集諸如系統版本與主機名稱等資訊,也能檢查、上傳及註冊外掛程式以強化能力。FireEye還發現了另一個正在進行中、採用同樣模式的攻擊行動,但尚無法確認受害者。FireEye表示,中國駭客集團過去通常鎖定國際的媒體組織,但最近香港媒體也成為中國駭客目標,特別是那些經常報導民運消息的媒體,懷疑幕後主使者可能是中國政府。

Reference

資料來源:

https://www.fireeye.com/blog/threat-research/2015/11/china-based-threat.html

http://news.softpedia.com/news/malware-that-hides-c-c-server-on-dropbox-detected-in-the-wild-496951.shtml

http://www.csinfotech.org/cyber-news?438/Malware-Used-by-China-APT-Group-Abuses-Dropbox

http://www.ithome.com.tw/news/100710

行政院國家資通安全會報技術服務中心整理

Publish Date
2015/12/16 0:00:00