Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Dropbox」のAPI経由で命令受ける「Dropapibot」 - 国内を標的に展開

クラウドストレージサービス「Dropbox」をコマンド&コントロール(C&C)サーバに悪用するあらたなマルウェア「Dropapibot」が確認された。

同マルウェアを観測、解析したラックによれば、「Dropapibot」は、国内を標的とする攻撃で使用されたボット。6月ごろに確認した。

標的となった業種や検知数、攻撃者のプロファイルなど、詳細については非公表としている。

同マルウェアは、命令の受信やファイルの送受信に「Dropbox」を悪用。「Dropbox」の正規API経由で通信するため、通信先が「Dropbox」の正規ドメインとして隠ぺいされる。

「Dropbox」をC&Cサーバとして利用するケースは今回がはじめてではなく、2015年12月に中国が関与し、香港のメディアを標的とした「LOWBALL」が報告されている。

同じく2015年には、台湾を標的とした「DropNetClient」が確認されているが、いずれも実装するコードや機能の面から、ラックでは今回確認された「Dropapibot」を異なるマルウェアとしている。

利用するAPIのバージョンが異なる亜種が存在。APIのバージョンアップにともない、通信に使用するライブラリや認証方法を変更していたほか、暗号化に用いるアルゴリズムも「RC4」から「AES」へと切り替えていた。

また受信した命令により、「Dropbox」を通じたファイルのダウンロードやアップロードに対応。

最新のAPIに対応した亜種では、Dropbox上のファイル削除したり、コマンドの実行、ローカルシステムへのファイル作成、プロセスの終了といった命令が追加されるなど、機能強化が図られていた。

同社によると、6月以降も類似した検体が見つかっているが、現在の詳しい活動状況はわかっていないという。

(Security NEXT - 2018/09/28 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

標的型攻撃が「Slack」や「GitHub」を悪用 - コード入手やコマンド実行の通知手段に
シンガポール医療機関の大規模情報漏洩、関与グループが判明
無人潜水機など海事技術狙う「APT 40」 - 中国関与か
macOS向けに「.NET Framework」を用いた攻撃 - 「Gatekeeper」を回避
「Linux」狙う新種マルウェア「SpeakUp」 - 多くの製品で検知すり抜け
攻撃グループ「White Company」 - あえてセキュリティ製品に検知させ陽動か
ボットネット「Cutwail」、日本狙うメール攻撃に新展開 - 画像に命令埋め込む「ステガノグラフィ」を悪用
中国「APT10」による国内メディア狙った標的型攻撃 - 外交問題関連ファイルを偽装
Windowsへのゼロデイ攻撃、「FruityArmor」関与か - 「Skype」経由で攻撃
Android端末を狙うクラウド型マルウェアサービス「MaaS」 - アクセシビリティ機能を悪用