Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Dropbox」のAPI経由で命令受ける「Dropapibot」 - 国内を標的に展開

クラウドストレージサービス「Dropbox」をコマンド&コントロール(C&C)サーバに悪用するあらたなマルウェア「Dropapibot」が確認された。

同マルウェアを観測、解析したラックによれば、「Dropapibot」は、国内を標的とする攻撃で使用されたボット。6月ごろに確認した。

標的となった業種や検知数、攻撃者のプロファイルなど、詳細については非公表としている。

同マルウェアは、命令の受信やファイルの送受信に「Dropbox」を悪用。「Dropbox」の正規API経由で通信するため、通信先が「Dropbox」の正規ドメインとして隠ぺいされる。

「Dropbox」をC&Cサーバとして利用するケースは今回がはじめてではなく、2015年12月に中国が関与し、香港のメディアを標的とした「LOWBALL」が報告されている。

同じく2015年には、台湾を標的とした「DropNetClient」が確認されているが、いずれも実装するコードや機能の面から、ラックでは今回確認された「Dropapibot」を異なるマルウェアとしている。

利用するAPIのバージョンが異なる亜種が存在。APIのバージョンアップにともない、通信に使用するライブラリや認証方法を変更していたほか、暗号化に用いるアルゴリズムも「RC4」から「AES」へと切り替えていた。

また受信した命令により、「Dropbox」を通じたファイルのダウンロードやアップロードに対応。

最新のAPIに対応した亜種では、Dropbox上のファイル削除したり、コマンドの実行、ローカルシステムへのファイル作成、プロセスの終了といった命令が追加されるなど、機能強化が図られていた。

同社によると、6月以降も類似した検体が見つかっているが、現在の詳しい活動状況はわかっていないという。

(Security NEXT - 2018/09/28 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

中国「APT10」による国内メディア狙った標的型攻撃 - 外交問題関連ファイルを偽装
Windowsへのゼロデイ攻撃、「FruityArmor」関与か - 「Skype」経由で攻撃
Android端末を狙うクラウド型マルウェアサービス「MaaS」 - アクセシビリティ機能を悪用
IoTボット、感染対象を「Apache Struts 2」やセキュリティ製品にも拡大
攻撃グループ「PowerPool」、Windowsタスクスケジューラ狙うゼロデイ攻撃を展開
「東京五輪の無料チケット」で誘うメールに要警戒 - 攻撃計画が進行中
北朝鮮攻撃グループ、偽「仮想通貨取引ソフト」をばらまく攻撃か - 「macOS」をはじめて標的に
北朝鮮関与のあらたなマルウェア「KEYMARBLE」 - 米政府が注意喚起
企業内での拡散狙うファイルレスマイナー「PowerGhost」 - 「EternalBlue」なども悪用
マルウェア配信担う自己拡大型トロイの木馬に警戒 - 復旧に1億円超えも