「Dropbox」のAPI経由で命令受ける「Dropapibot」 - 国内を標的に展開
クラウドストレージサービス「Dropbox」をコマンド&コントロール(C&C)サーバに悪用するあらたなマルウェア「Dropapibot」が確認された。
同マルウェアを観測、解析したラックによれば、「Dropapibot」は、国内を標的とする攻撃で使用されたボット。6月ごろに確認した。
標的となった業種や検知数、攻撃者のプロファイルなど、詳細については非公表としている。
同マルウェアは、命令の受信やファイルの送受信に「Dropbox」を悪用。「Dropbox」の正規API経由で通信するため、通信先が「Dropbox」の正規ドメインとして隠ぺいされる。
「Dropbox」をC&Cサーバとして利用するケースは今回がはじめてではなく、2015年12月に中国が関与し、香港のメディアを標的とした「LOWBALL」が報告されている。
同じく2015年には、台湾を標的とした「DropNetClient」が確認されているが、いずれも実装するコードや機能の面から、ラックでは今回確認された「Dropapibot」を異なるマルウェアとしている。
利用するAPIのバージョンが異なる亜種が存在。APIのバージョンアップにともない、通信に使用するライブラリや認証方法を変更していたほか、暗号化に用いるアルゴリズムも「RC4」から「AES」へと切り替えていた。
また受信した命令により、「Dropbox」を通じたファイルのダウンロードやアップロードに対応。
最新のAPIに対応した亜種では、Dropbox上のファイル削除したり、コマンドの実行、ローカルシステムへのファイル作成、プロセスの終了といった命令が追加されるなど、機能強化が図られていた。
同社によると、6月以降も類似した検体が見つかっているが、現在の詳しい活動状況はわかっていないという。
(Security NEXT - 2018/09/28 )
ツイート
関連リンク
PR
関連記事
日米豪など8カ国が共同署名 - 中国関与の「APT40」へ対抗
国際連携でボットネット「QakBot」が解体 - 展開済みマルウェアに注意を
「Barracuda ESG」を侵害するバックドア、分析レポートの続報
「Barracuda ESG」脆弱性、修正の7カ月前に悪用の痕跡
Barracuda ESGの侵害、中国関与か - スパム装いゼロデイ攻撃を隠蔽
ルータ狙う「GobRAT」、IoC情報や解析支援ツールなど公開 - JPCERT/CC
暗号資産取引所を狙うサイバー攻撃、「OneNoteファイル」を悪用
「Pulse Secure Connect」を侵害するマウルウェアレポート5件を公開 - 米政府
米政府、「Pulse Connect Secure」狙うマルウェアの解析情報
同業者装いセキュ研究者に忍び寄るサイバー攻撃者 - 解析情報にワナも