Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Dropbox」のAPI経由で命令受ける「Dropapibot」 - 国内を標的に展開

クラウドストレージサービス「Dropbox」をコマンド&コントロール(C&C)サーバに悪用するあらたなマルウェア「Dropapibot」が確認された。

同マルウェアを観測、解析したラックによれば、「Dropapibot」は、国内を標的とする攻撃で使用されたボット。6月ごろに確認した。

標的となった業種や検知数、攻撃者のプロファイルなど、詳細については非公表としている。

同マルウェアは、命令の受信やファイルの送受信に「Dropbox」を悪用。「Dropbox」の正規API経由で通信するため、通信先が「Dropbox」の正規ドメインとして隠ぺいされる。

「Dropbox」をC&Cサーバとして利用するケースは今回がはじめてではなく、2015年12月に中国が関与し、香港のメディアを標的とした「LOWBALL」が報告されている。

同じく2015年には、台湾を標的とした「DropNetClient」が確認されているが、いずれも実装するコードや機能の面から、ラックでは今回確認された「Dropapibot」を異なるマルウェアとしている。

利用するAPIのバージョンが異なる亜種が存在。APIのバージョンアップにともない、通信に使用するライブラリや認証方法を変更していたほか、暗号化に用いるアルゴリズムも「RC4」から「AES」へと切り替えていた。

また受信した命令により、「Dropbox」を通じたファイルのダウンロードやアップロードに対応。

最新のAPIに対応した亜種では、Dropbox上のファイル削除したり、コマンドの実行、ローカルシステムへのファイル作成、プロセスの終了といった命令が追加されるなど、機能強化が図られていた。

同社によると、6月以降も類似した検体が見つかっているが、現在の詳しい活動状況はわかっていないという。

(Security NEXT - 2018/09/28 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

国際連携でボットネット「QakBot」が解体 - 展開済みマルウェアに注意を
「Barracuda ESG」を侵害するバックドア、分析レポートの続報
「Barracuda ESG」脆弱性、修正の7カ月前に悪用の痕跡
Barracuda ESGの侵害、中国関与か - スパム装いゼロデイ攻撃を隠蔽
ルータ狙う「GobRAT」、IoC情報や解析支援ツールなど公開 - JPCERT/CC
暗号資産取引所を狙うサイバー攻撃、「OneNoteファイル」を悪用
「Pulse Secure Connect」を侵害するマウルウェアレポート5件を公開 - 米政府
米政府、「Pulse Connect Secure」狙うマルウェアの解析情報
同業者装いセキュ研究者に忍び寄るサイバー攻撃者 - 解析情報にワナも
米政府、マルウェア「TrickBot」展開する標的型攻撃で注意喚起