Worok黑客滥用Dropbox API通过隐藏在图像中的后门窃取数据

最近发现的一个名为Worok的网络间谍组织被发现将恶意软件隐藏在看似无害的图像文件中，证实了威胁行为者感染链中的关键环节。


      捷克网络安全公司Avast表示，PNG文件的目的是隐藏用于促进信息盗窃的有效载荷。

      “值得注意的是使用Dropbox存储库从受害者的机器中收集数据，以及使用Dropbox API与最后阶段进行通信的攻击者，”该公司表示。

      在ESET披露Worok对位于亚洲和非洲的知名公司和地方政府进行攻击的细节后，这一发展发生了两个多月。据信，Worok与一名被追踪为TA428的中国威胁行为者有战术重叠。
      这家斯洛伐克网络安全公司还记录了Worok的妥协序列，该序列利用名为CLRLoad的基于C++的加载程序为嵌入PNG图像中的未知PowerShell脚本铺平了道路，这种技术称为隐写术。

      也就是说，最初的攻击媒介仍然未知，尽管某些入侵需要使用Microsoft Exchange Server中的ProxyShell漏洞来部署恶意软件。

      Avast 的发现表明，对抗性集体在获得初始访问权限时利用DLL 旁加载来执行 CLRLoad 恶意软件，但不是在跨受感染环境执行横向移动之前。

      由CLRLoad（或另一个称为PowHeartBeat的第一阶段）启动的PNGLoad据说有两种变体，每种变体负责解码图像中的恶意代码以启动PowerShell脚本或基于.NET C#的有效负载。

       PowerShell脚本仍然难以捉摸，尽管网络安全公司指出，它能够标记一些属于第二类的PNG文件，这些文件分发了隐写嵌入的C#恶意软件。

        “乍一看，PNG的照片看起来很无辜，就像蓬松的云一样，”Avast说。“在这种特定情况下，PNG文件位于C：\Program Files\Internet Explorer中，因此图片不会引起注意，因为Internet Explorer具有类似的主题。

       这种代号为 DropboxControl 的新恶意软件是一种信息窃取植入物，它使用 Dropbox 帐户进行命令和控制，使威胁参与者能够将文件上传和下载到特定文件夹以及运行特定文件中存在的命令。

      一些值得注意的命令包括执行任意可执行文件、下载和上传数据、删除和重命名文件、捕获文件信息、嗅探网络通信以及泄露系统元数据的能力。

      Avast表示，柬埔寨，越南和墨西哥的公司和政府机构是受DropboxControl影响的几个主要国家，并补充说，由于“这些有效载荷的代码质量明显不同”，恶意软件的作者可能与CLRLoad和PNGLoad背后的作者不同。

      无论如何，部署第三阶段植入物作为收集感兴趣文件的工具清楚地表明了Worok的情报收集目标，更不用说用于说明其杀伤链的延伸。

       “Worok工具在野外的流行率很低，因此可以表明该工具集是一个APT项目，专注于亚洲，非洲和北美私营和公共部门的知名实体，”研究人员总结道。