Avast Softwareは11月10日(現地時間)、「PNG Steganography Hides Backdoor - Avast Threat Labs」において、PNGファイルに隠してマルウェアを展開しているステガノグラフィについて伝えた。画像ファイルに埋め込まれたペイロードは最終的にデータ窃取を目的にしていることが確認されている。

  • PNG Steganography Hides Backdoor - Avast Threat Labs

    PNG Steganography Hides Backdoor - Avast Threat Labs

このステガノグラフィによるキャンペーンはESETのセキュリティ研究者によって初めて文書化されもので、少なくとも2020年から活動していることが判明している。キャンペーンを展開しているサイバー犯罪者グループは「Worok」と名付けられており、アジアの有名企業や地方自治体を標的にしていることがわかった。

Avast Softwareのセキュリティ研究者はさらにこのキャンペーンについて詳細な調査を行い、DropBoxリポジトリを悪用して被害者のマシンからデータ収集を行っていること、攻撃者との通信にDropBox APIが使われていることを明らかにした。

  • Extended compromise chain - Avast Threat Labs

    Extended compromise chain - Avast Threat Labs

最初の侵害について、ProxyShellの脆弱性を介して行われた可能性が指摘されている。侵入プロセスの最初のステージは「CLRLoader」と名付けられたローダとされており、CLRLoaderによって「PNGLoader」と名付けられた.NET DLLファイルが実行される仕組みになっている。

PNGLoaderはPNGファイルから実行可能なペイロードを抽出して再構築するローダで、PowerShellスクリプトおよび「DropBoxControl」と呼ばれている2つのペイロードを実行していることがわかった。DropBoxControlがAvast Softwareの新たな調査により観測されたペイロードとされており、DropBoxのサービスを介して攻撃者と通信を行うバックドアであることが判明している。DropBoxリポジトリやDropBox APIを悪用していることも確認されている。

Avast Softwareは、Worokのこれらツールセットの普及率は低いと分析しており、アジアやアフリカ、北米の民間および公共機関に焦点を当てた持続的標的型攻撃(APT: Advanced Persistent Threat)プロジェクトによるものである可能性が高いと結論付けている。