Dropbox API を悪用する Worok:PNG に埋め込んだマルウェアでバックドアを展開

Worok Hackers Abuse Dropbox API to Exfiltrate Data via Backdoor Hidden in Images

2022/11/14 TheHackerNews — 最近に発見された Worokと呼ばれるサイバー・スパイ・グループは、無害に見える画像ファイルにマルウェアを隠していることが判明し、脅威アクターによる感染連鎖の重要なリンクになっていることが裏付けられた。 チェコのサイバー・セキュリティ企業である Avast は、この PNG ファイルの目的は、情報の窃盗を容易にするペイロードを隠すことだと述べている。同社は、「注目すべきは、Dropbox のリポジトリを使用する被害者のマシンからデータを収集し、最終段階での通信に Dropbox API を使用する攻撃者である」と述べている。

アジア/アフリカの有名企業や地方自治体に対して、Worok が仕掛けた攻撃の詳細を、ESET が公表してから2カ月余りで調査が進展した。そして Worok は、TA428 として追跡されている、中国の脅威アクターと戦術面で重なる部分があると考えられている。

CLRLoadと呼ばれる C++ ベースのローダーを使用して、ステガノグラフィにより PNG 画像に埋め込まれた未知の PowerShell スクリプトに道を開く、Worok の侵害シーケンスについても Avast は文書化している。

また、Microsoft Exchange Server の ProxyShell 脆弱性を悪用してマルウェアを展開する、不正侵入の手口も確認されているが、最初の攻撃ベクターは依然として不明である。

Avast の調査結果によると、この敵対的な集団はマルウェア CLRLoad を実行するために、イニシャル・アクセスを得た後に DLL サイドローディングを利用しているが、感染した環境全体で横方向の移動を行うまでには至っていないようだ。


CLRLoad (または PowHeartBeat と呼ばれる別のファーストステージ) により起動される NGLoad には、2つの亜種があると言われている。それぞれが画像内の悪意のコードを解読し、PowerShell スクリプトまたは .NET C# ベース・ペイロードを起動する役割を担っている。

現時点で PowerShell スクリプトは発見されていないが、ステガノグラフィで埋め込まれた C# マルウェアを起動する、2番目のカテゴリーに属するいくつかの PNG ファイルにフラグを立てたと、Avast は述べている。

同社は、「一見すると、PNG 画像は雲のように無害なものにに見える。特定したケースでは、C:\Program FilesInternet Explorer に PNG ファイルは置かれ、Internet Explorer が同様のテーマを持っているため、PNG が注目を集めることはない」と付け加えている。

DropboxControl というコードネームで呼ばれる、この新しいマルウェアは、情報を盗むインプラントであり、Dropbox アカウントを介して Command and Control を行い、特定フォルダでのファイルのアップロード/ダウンロードや、それらのファイル内に存在するコマンド実行などを行う。

それらのコマンドに含まれる注目すべきものには、任意の実行ファイルの実行/データのダウンロード・アップロード/ファイルの削除と名前の変更/ファイル情報の取得/ネットワーク通信の盗聴/システムのメタデータの流出などがある。

カンボジア/ベトナム/メキシコの企業や政府が、DropboxControl の影響を受けている組織として挙げられると Avast は述べている。

しかし、目的のファイルを取得するツールとして、第3段階のインプラントが展開されていることで、Worok の情報収集の目的は明確に示されており、そのキルチェーンが拡張されていることは言うまでもない。

研究者たちは、「Worok のツールの普及率は低いため、このツールセットは、アジア/アフリカ/北米の民間/公的セクターに焦点を当てた APT プロジェクトであると判明している」と結論付けている。

このとところ、画像ファイルにマルウェアのペイロードを埋め込む、ステガノグラフィ攻撃が多発しているようです。つい先日の 11月10日にも、Windows Defender の検知雨を回避する、IceXLoader マルウェアでステガノグラフィが用いられているという記事がありました。また、Dropbox ですが、11月2日に GitHub リポジトリで侵害が発生して、130 件のコードが流出したという記事もありました。

%d bloggers like this: