Mã độc sử dụng bởi tin tặc APT Trung Quốc lợi dụng Dropbox

Báo cáo của FireEye cho biết, các cuộc tấn công thực hiện gần đây bởi tin tặc APT Trung Quốc vào các tổ chức truyền thông đa phương tiện tại Hong Kong đã lợi dụng mã độc trên Dropbox làm máy chủ điều khiển C&C.

FireEye tin rằng chiến dịch không gian mạng này là hoạt động của một nhóm tin tặc có định danh admin@338. Đây là một nhóm tin tặc tấn công có chủ đích (APT) hoạt động từ năm 2008, thường xuyên tấn công các tổ chức tài chính, viễn thông, chính phủ và quốc phòng.

admin@338 bị nghi ngờ sử dụng các mũi tấn công lừa đảo đối với các tổ chức tại Hong Kong. Tin tặc gửi email chứa tài liệu độc hại được thiết kế để khai thác lỗ hổng Microsoft Office nhằm phát tán mã độc “LOWBALL”.

Sau khi đã lây nhiễm trên hệ thống, LOWBALL backdoor sử dụng API cung cấp bởi dịch vụ lưu trữ cloud Dropbox trong kết nối điều khiển. Mã độc cho phép tin tặc thu thập thông tin trên thiết bị và mạng, nhằm thực hiện các cuộc tấn công khác. Tài khoản Dropbox của nhóm này còn chứa backdoor “BUBBLEWRAP”.

Theo FireEye, các nhóm tin tặc không gian mạng có thể truy cập vào mạng của các tổ chức truyền thông nhằm cung cấp trước cho chính phủ cảnh báo về các vụ biểu tình sắp xảy ra, thông tin về người lãnh đạo đòi dân chủ và thông tin cần thiết để đánh sập các hoạt động trên Internet. Trong khi làm việc với Dropbox để phân tích các cuộc tấn công, FireEye còn phát hiện ra một chiến dịch thứ hai thực hiện bởi admin@338, nhưng các nhà nghiên cứu chưa có đủ bằng chứng để xác định nạn nhân của chiến dịch này.

securityweek