Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Dropbox」のAPI経由で命令受ける「Dropapibot」 - 国内を標的に展開

クラウドストレージサービス「Dropbox」をコマンド&コントロール(C&C)サーバに悪用するあらたなマルウェア「Dropapibot」が確認された。

同マルウェアを観測、解析したラックによれば、「Dropapibot」は、国内を標的とする攻撃で使用されたボット。6月ごろに確認した。

標的となった業種や検知数、攻撃者のプロファイルなど、詳細については非公表としている。

同マルウェアは、命令の受信やファイルの送受信に「Dropbox」を悪用。「Dropbox」の正規API経由で通信するため、通信先が「Dropbox」の正規ドメインとして隠ぺいされる。

「Dropbox」をC&Cサーバとして利用するケースは今回がはじめてではなく、2015年12月に中国が関与し、香港のメディアを標的とした「LOWBALL」が報告されている。

同じく2015年には、台湾を標的とした「DropNetClient」が確認されているが、いずれも実装するコードや機能の面から、ラックでは今回確認された「Dropapibot」を異なるマルウェアとしている。

利用するAPIのバージョンが異なる亜種が存在。APIのバージョンアップにともない、通信に使用するライブラリや認証方法を変更していたほか、暗号化に用いるアルゴリズムも「RC4」から「AES」へと切り替えていた。

また受信した命令により、「Dropbox」を通じたファイルのダウンロードやアップロードに対応。

最新のAPIに対応した亜種では、Dropbox上のファイル削除したり、コマンドの実行、ローカルシステムへのファイル作成、プロセスの終了といった命令が追加されるなど、機能強化が図られていた。

同社によると、6月以降も類似した検体が見つかっているが、現在の詳しい活動状況はわかっていないという。

(Security NEXT - 2018/09/28 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「Emotet」対策でパスワード付きzip添付ファイルのブロックを推奨 - 米政府
国内組織で「HIDDEN COBRA」のマルウェアを観測 - ファイルサイズは約150Mバイト
米政府、マルウェア「BLINDINGCAN」のIoC情報を公開 - 北朝鮮関与か
QNAP製NASを狙うマルウェアに警戒を - 世界で約6.2万台が感染
「Flash Player」狙いのゼロデイ攻撃、3カ月前から準備か - 給与関連書類を偽装、C&Cは偽求人サイト
「Emotet」に近接「Wi-Fi」経由で感染を拡大する機能
偽金融取引ソフトに注意 - macOSもターゲットに
中国関与の「APT10」、マレーシアやベトナムの医療関連に攻撃展開
北朝鮮攻撃グループ「Lazarus」の新ツールを発見 - 現在も攻撃に使用
IoCによる標的型攻撃対策に限界 - Kasperskyが事例挙げて指摘