Worok黑客滥用Dropbox API通过隐藏在图像中的后门过滤数据

最近发现的一个网络间谍组织工作已发现在看似无害的图像文件中隐藏恶意软件，证实了威胁行为者感染链中的一个关键环节。

捷克网络安全公司Avast表示，PNG文件的目的是隐藏一个用于帮助信息盗窃的有效载荷。

该公司表示：“值得注意的是，使用Dropbox存储库从受害者机器收集数据，以及攻击者使用Dropbox API与最终阶段进行通信”。

两个多月前，ESET披露了Worok针对亚洲和非洲知名公司和地方政府的袭击细节。据信，Worok与一名被追踪为TA428的中国威胁行为者有战术重叠。

斯洛伐克网络安全公司还记录了Worok的妥协序列，该序列使用了一个名为CLL负载为嵌入PNG图像中的未知PowerShell脚本铺平道路，这是一种被称为隐写术的技术。

尽管如此，最初的攻击向量仍然未知，但某些入侵行为需要使用Microsoft Exchange Server中的ProxyShell漏洞来部署恶意软件。

Avast的研究结果表明，对抗性集体在获得初始访问权以执行CLRLoad恶意软件时利用DLL侧加载，但在跨受感染环境执行横向移动之前没有。

由CLRLoad（或者另一个称为PowHeartBeat的第一阶段）启动的PNGLoad据说有两个变体，每个变体负责解码映像中的恶意代码，以启动PowerShell脚本或基于.NET C#的负载。

PowerShell脚本仍然难以捉摸，尽管这家网络安全公司指出，它能够标记属于第二类的几个PNG文件，这些文件分发了一个隐写嵌入的C#恶意软件。

Avast说：“乍一看，PNG图片看起来很无辜，就像一团蓬松的云”。在这种情况下，PNG文件位于C:\Program files\Internet Explorer中，因此图片不会引起注意，因为Internet Explorer具有类似的主题。

这个代号为DropboxControl的新恶意软件是一种信息窃取植入物，它使用Dropbox帐户进行命令和控制，使威胁行为者能够将文件上传和下载到特定文件夹，并运行特定文件中的命令。

一些值得注意的命令包括执行任意可执行文件、下载和上载数据、删除和重命名文件、捕获文件信息、嗅探网络通信和exfilter系统元数据的能力。

Avast表示，柬埔寨、越南和墨西哥的公司和政府机构是受DropboxControl影响的少数几个主要国家，并补充说，恶意软件的作者可能与CLRLoad和PNGLoad的作者不同，因为“这些有效载荷的代码质量显著不同”。

不管怎样，第三阶段植入物作为获取感兴趣文件的工具的部署清楚地表明了Worok的情报收集目标，更不用说用来说明其破坏链的扩展。

研究人员总结道：“Worok工具在野外的普及率很低，因此可以表明该工具集是一个APT项目，重点关注亚洲、非洲和北美私营和公共部门的知名实体”。