FireEye：中國駭客把Dropbox當作CnC伺服器，用以攻擊港媒

資安業者FireEye於周二（12/1）披露 ，有一中國駭客集團利用Dropbox雲端服務充當攻擊行動的命令暨控制（CnC）伺服器，且是在今年8月針對香港多家媒體展開魚叉式網釣攻擊（spear phishing）。

FireEye是與Dropbox共同調查此一中國先進持續威脅（Advanced Persistent Threat ）攻擊的駭客集團，駭客利用合法的社交網站或雲端儲存網站來進行通訊，以躲避偵測。

FireEye分析，中國的駭客集團過去通常鎖定國際的媒體組織，但最近香港媒體也成為中國駭客目標，特別是那些經常報導民運消息的媒體。

所謂的魚叉式網釣攻擊指的是駭客深入分析攻擊對象，並以特定內容吸引受害者點選。例如某個含有惡意程式的附件內容為「港大校友關注組遞信行動」的採訪通知，還有一個附件是「使命公民運動，我們的異象」新聞稿，駭客集團以當下的新聞事件來誘導目標組織或對象開啟惡意檔案，並於受害者電腦上植入名為Lowball的遠端存取工具（Remote Access Tool，RAT）。

Lowball即以合法的Dropbox雲端儲存服務充當CnC伺服器，它利用Dropbox API與硬編碼來存取權杖，並具備下載、上傳及執行檔案的能力。一旦受害者端執行Lowball，它就會呼叫Dropbox API以自Dropbox下載各種指令，並允許駭客取得受害者電腦上或網路上的相關資訊，確定攻擊目標後就會再下載Bubblewrap惡意程式。

Bubblewrap是一個完整功能的後門，可在系統開機時執行，它會蒐集諸如系統版本與主機名稱等資訊，也能檢查、上傳及註冊外掛程式以強化能力。

FireEye還發現了另一個正在進行中、採用同樣模式的攻擊行動，但尚無法確認受害者。