該集團不但用有新聞價值的事件變造攻擊文檔引誘記者,還濫用 Dropbox進行通訊

新加坡 - Media OutReach - 2015 年12月1日  - 預防先進網路攻擊的領導者FireEye股份有限公司(納斯達克:FEYE)今日發佈了一份研究報告,報告的研究目標是一個中國網路威脅團體(被稱為"admin@338")近期發動的一次攻擊活動,該團體的威脅目標是總部在香港的媒體組織。



1admin@338 發送給記者的魚叉式網路釣魚電郵螢幕截圖


8月份,該團體向總部在香港的媒體組織(包括報紙、廣播和電視台等的機搆)發送了有新聞價值的事件進展情況的魚叉式網路釣魚電郵 (spear phishing)和惡意附件。其中一封電郵提及了一個基督教公民社會組織的創立,以圖製造與2014年在香港發生的抗議活動「雨傘運動」周年紀念的巧合。另一封電郵則提及了一個香港大學校友擔心在任命副校長的公民投票活動中,副校長將由親北京的利益團體進行指派。

 

該團體利用一個可以濫用Dropbox(一種合法的雲存儲服務)並名為LOWBALL的惡意軟體來進行命令和控制。在FireEye的研究者向Dropbox發出應防範該團體活動的警告後,Dropbox迅速封鎖了LOWBALL所使用的權限。這樣一來,Dropbox破壞了該團體在該惡意軟體的所有已觀察到的版本中的命令和控制能力。

 

FireEye觀察到多個中國威脅團體對在亞洲的國際和國內媒體組織的記者發起針對性的攻擊。這些攻擊通常集中於總部在香港的媒體,尤其是那些發佈支援民主資訊的媒體。位於台灣、東南亞和其他地區的記者亦一度是攻擊目標。

 

「亞洲記者通常會遭到這些針對性的網路攻擊。他們所依賴的資訊來源相當複雜,因此他們容易成為被攻擊的目標。記者所掌握的資訊和資訊來源可以成為有價值的情報。由於沒有適當的技術防禦,所以他們容易受害」,FireEye亞太區首席技術官Bryce Boland說。

 

FireEye2013年起開始跟蹤 admin@338 的活動。該團體主要的攻擊目標是財政、經濟和貿易政策等組織。20154月,FireEye首次觀察到該團體正在瞄準媒體機搆。

 

該團體之前針對財政和政策組織的攻擊活動主要是利用英文撰寫的、指定給西方受眾閱讀的魚叉式網路釣魚電郵 (spear phishing)。然而,這次攻擊活動明顯是針對繁體中文(香港通用的文稿語言)的讀者而策劃的。

 

4 月份,FireEye 發佈了一份APT30報告APT30是一個與中國有聯繫的團體,該組織進行了長達10年的針對東南亞和印度的網路間諜活動。APT30還以記者為攻擊目標,但FireEye沒有觀察到該組織和admin@338之間有任何直接聯繫。

 

欲知更多詳情,請參考FireEye 威脅情報:https://www.fireeye.com/blog/threat-research/2015/11/china-based-threat.html

 

圖片

1admin@338 發送給記者的魚叉式網路釣魚電郵螢幕截圖

http://release.media-outreach.com/i/Download/3989

 

公司

http://release.media-outreach.com/i/Download/3524

 

關於 FireEye 股份有限公司

FireEye 發明了一個專用的、基於虛擬機的安全平台,為全球企業和政府提供即時威脅保護,以應對下一代的網路攻擊。這類高度複雜的網路攻擊很容易繞過傳統的特徵碼式技術,例如下一代防火牆、入侵預防系統 (IPS)、防毒及安全性閘道。FireEye 預防威脅平台提供即時、動態威脅保護,無需使用特徵來保護組織繞過主要威脅載體,並跳過攻擊生命週期的不同階段。FireEye 平台的核心是一個虛擬的執行引擎,輔之以動態威脅情報,以識別並即時阻止網路攻擊。FireEye 67 個國家擁有超過3,700位客戶,其中包括2000年全球福布斯榜上的675位客戶。

 

© 2015 FireEye 股份有限公司保留所有權利。在美國和其他國家 FireEye FireEye 股份有限公司是注冊商標。其他所有的品牌、產品或服務名稱是或可能是其各自所有者的商標或服務標誌。

Talk to Media OutReach today

Let Media OutReach help you achieve your communication goals. Send an email to info@media-outreach.com or click below. You will receive a response within 24 hours.

Contact us now