一个隐藏在图片中的恶意软件正在亚、非地区泛滥

安全
最近,一个被称为Worok的网络间谍组织被发现在看似无害的图像文件中隐藏恶意软件,它的存在是攻击者感染链中的一个关键环节。

最近,一个被称为Worok的网络间谍组织被发现在看似无害的图像文件中隐藏恶意软件,它的存在是攻击者感染链中的一个关键环节。

捷克网络安全公司Avast表示,PNG(图片格式)文件作为隐藏信息盗窃的有效载荷,有很大的隐蔽性。

"该公司说:"值得注意的是,攻击者通过使用Dropbox存储库从受害者的机器上收集数据,并用Dropbox API与最终阶段进行通信。

在ESET披露Worok对位于亚洲和非洲的高知名度公司和地方政府进行了攻击。

斯洛伐克网络安全公司还记录了Worok的破坏序列,它利用了一个名为CLRLoad的基于C++的加载器,为嵌入PNG图像的未知PowerShell脚本铺平道路,这种技术被称为隐写术。

也就是说,尽管某些入侵行为需要使用微软Exchange服务器中的ProxyShell漏洞来部署恶意软件,但最初的攻击载体仍然是未知的。

Avast的研究结果表明,该组织在获得初始访问权后利用DLL侧载来执行CLRLoad恶意软件,但在受感染环境中进行横向移动之前并没有。

据称,由CLRLoad(或另一个名为PowHeartBeat的第一阶段)启动的PNGLoad有两个变体,每个变体负责解码图像内的恶意代码,以启动PowerShell脚本或基于.NET C#的有效载荷。

虽然网络安全公司指出,它能够标记一些属于第二类的PNG文件,这些文件分发了一个隐藏的C#恶意软件,但PowerShell脚本仍然是难以捉摸的。

之所以,这些PNG图片看起来很无害。是因为,PNG文件位于C:\Program Files\Internet Explorer中,图片不会引起注意,而且Internet Explorer也有一个类似的主题。

这种新的恶意软件,代号为DropboxControl,作为一种信息窃取工具,它使用Dropbox账户进行命令和控制,使攻击者能够上传和下载文件到特定的文件夹,以及运行存在于某个文件中的命令。

其中一些值得注意的命令包括执行任意可执行文件、下载和上传数据、删除和重命名文件、捕获文件信息、嗅探网络通信和渗出系统元数据的能力。

Avast说,柬埔寨、越南和墨西哥的公司和政府机构是受DropboxControl影响的几个主要国家,而且,由于 "这些有效载荷的代码质量明显不同",该恶意软件的作者可能与CLRLoad和PNGLoad的作者也不同。

无论如何,通过嵌入式病毒工具来收集感兴趣的文件,都清楚地表明了Worok的情报收集目的。

研究人员总结说:Worok的工具在流行率很低,所以它可以表明该工具集是一个APT项目,侧重于亚洲、非洲和北美的私营和公共部门的高知名度实体。

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2015-02-28 10:52:05

2009-07-25 22:03:28

2021-10-10 12:43:44

恶意软件加密流量网络攻击

2019-11-20 15:09:25

安全威胁SSL加密

2021-03-01 11:38:06

恶意软件macOS攻击

2021-04-26 10:01:56

恶意软件黑客网络攻击

2015-06-18 10:32:37

2014-07-23 09:47:49

2013-07-29 10:02:42

2011-06-13 09:59:21

2012-03-15 09:50:44

Linux发行版非自由软件

2020-12-02 09:59:49

恶意软件Docker开发

2020-08-25 07:29:48

2016-11-21 11:43:11

Python

2021-07-09 10:29:50

云计算云计算环境云应用

2018-04-24 11:06:18

云迁移数据迁移数据库

2022-05-23 13:36:31

恶意软件网络攻击

2015-07-02 14:27:23

2014-10-08 09:33:09

2011-09-26 11:12:48

点赞
收藏

51CTO技术栈公众号