گروه Admin338:استفاده از Dropbox برای ارسال بدافزار
گروه Admin338:استفاده از Dropbox برای ارسال بدافزار
تحلیل گران شرکت FireEye Threat Intelligence یک نوع حمله جدید را کشف کردهاند که از خدمات Dropbox استفاده میکند و توسط گروه هکر Admin338 ارسالشده است و این گروه هنوز دقیقاً مشخص نیست که چه کسانی هستند.
ایمیل phishing این گروه دارای لینک به Dropbox و شامل سه document هستند که به کاربران ارسال میشوند. سه ضمیمه ارسالی توسط یک آسیبپذیری قدیمی Microsoft Office نقض شدند. درواقع این ضمیمهها یک payload بدافزاری بانام LOWBALL دارند.
به نظر میرسد که LOWBALL سایت Dropbox را بهعنوان C&C استفاده میکند.
ایمیلهای ارسالی این گروه در Dropbox به زبان انگلیسی بوده و به نظر میرسد که این گروه بسیار منظم عمل میکند.
در حال حاضر Dropbox در حال حذف این بدافزار از خدمات خود است. شرکت Dropbox میگوید که این دومین بار است که در سال 2015 هکرها خدمات آنان را برای توزیع بدافزار استفاده کردهاند.
روند جدید تهدیدهای بدافزاری توزیع بدافزار از طریق خدمات کلاود (مانند dropbox) یا از طریق سایت و رسانههای اجتماعی میباشد.
گروه ناشناس Admin338 چینی درگذشته از منابع روادیدهای معروف در اخبار برای توزیع بدافزار استفاده کرده است.
سازمانهای مورد هدف این هکرها قالبآ مالی، اقتصادی و تجاری بوده است و آنها معمولاً از RAT های عمومی موجود مانند Poison Ivy و درب پشتیهای غیرعمومی استفاده کردهاند. هدف اصلی هکرها درگذشته سازمانهای رسانهای هنگکنگ بوده که مطالب پشتیبانی از دموکراسی چاپ میکنند.
