一个隐藏在图片中的恶意软件正在亚、非地区泛滥
source link: https://www.51cto.com/article/722705.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
一个隐藏在图片中的恶意软件正在亚、非地区泛滥
最近,一个被称为Worok的网络间谍组织被发现在看似无害的图像文件中隐藏恶意软件,它的存在是攻击者感染链中的一个关键环节。
捷克网络安全公司Avast表示,PNG(图片格式)文件作为隐藏信息盗窃的有效载荷,有很大的隐蔽性。
"该公司说:"值得注意的是,攻击者通过使用Dropbox存储库从受害者的机器上收集数据,并用Dropbox API与最终阶段进行通信。
在ESET披露Worok对位于亚洲和非洲的高知名度公司和地方政府进行了攻击。
斯洛伐克网络安全公司还记录了Worok的破坏序列,它利用了一个名为CLRLoad的基于C++的加载器,为嵌入PNG图像的未知PowerShell脚本铺平道路,这种技术被称为隐写术。
也就是说,尽管某些入侵行为需要使用微软Exchange服务器中的ProxyShell漏洞来部署恶意软件,但最初的攻击载体仍然是未知的。
Avast的研究结果表明,该组织在获得初始访问权后利用DLL侧载来执行CLRLoad恶意软件,但在受感染环境中进行横向移动之前并没有。
据称,由CLRLoad(或另一个名为PowHeartBeat的第一阶段)启动的PNGLoad有两个变体,每个变体负责解码图像内的恶意代码,以启动PowerShell脚本或基于.NET C#的有效载荷。
虽然网络安全公司指出,它能够标记一些属于第二类的PNG文件,这些文件分发了一个隐藏的C#恶意软件,但PowerShell脚本仍然是难以捉摸的。
之所以,这些PNG图片看起来很无害。是因为,PNG文件位于C:\Program Files\Internet Explorer中,图片不会引起注意,而且Internet Explorer也有一个类似的主题。
这种新的恶意软件,代号为DropboxControl,作为一种信息窃取工具,它使用Dropbox账户进行命令和控制,使攻击者能够上传和下载文件到特定的文件夹,以及运行存在于某个文件中的命令。
其中一些值得注意的命令包括执行任意可执行文件、下载和上传数据、删除和重命名文件、捕获文件信息、嗅探网络通信和渗出系统元数据的能力。
Avast说,柬埔寨、越南和墨西哥的公司和政府机构是受DropboxControl影响的几个主要国家,而且,由于 "这些有效载荷的代码质量明显不同",该恶意软件的作者可能与CLRLoad和PNGLoad的作者也不同。
无论如何,通过嵌入式病毒工具来收集感兴趣的文件,都清楚地表明了Worok的情报收集目的。
研究人员总结说:Worok的工具在流行率很低,所以它可以表明该工具集是一个APT项目,侧重于亚洲、非洲和北美的私营和公共部门的高知名度实体。
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK