Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Dropbox」のAPI経由で命令受ける「Dropapibot」 - 国内を標的に展開

クラウドストレージサービス「Dropbox」をコマンド&コントロール(C&C)サーバに悪用するあらたなマルウェア「Dropapibot」が確認された。

同マルウェアを観測、解析したラックによれば、「Dropapibot」は、国内を標的とする攻撃で使用されたボット。6月ごろに確認した。

標的となった業種や検知数、攻撃者のプロファイルなど、詳細については非公表としている。

同マルウェアは、命令の受信やファイルの送受信に「Dropbox」を悪用。「Dropbox」の正規API経由で通信するため、通信先が「Dropbox」の正規ドメインとして隠ぺいされる。

「Dropbox」をC&Cサーバとして利用するケースは今回がはじめてではなく、2015年12月に中国が関与し、香港のメディアを標的とした「LOWBALL」が報告されている。

同じく2015年には、台湾を標的とした「DropNetClient」が確認されているが、いずれも実装するコードや機能の面から、ラックでは今回確認された「Dropapibot」を異なるマルウェアとしている。

利用するAPIのバージョンが異なる亜種が存在。APIのバージョンアップにともない、通信に使用するライブラリや認証方法を変更していたほか、暗号化に用いるアルゴリズムも「RC4」から「AES」へと切り替えていた。

また受信した命令により、「Dropbox」を通じたファイルのダウンロードやアップロードに対応。

最新のAPIに対応した亜種では、Dropbox上のファイル削除したり、コマンドの実行、ローカルシステムへのファイル作成、プロセスの終了といった命令が追加されるなど、機能強化が図られていた。

同社によると、6月以降も類似した検体が見つかっているが、現在の詳しい活動状況はわかっていないという。

(Security NEXT - 2018/09/28 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

同業者装いセキュ研究者に忍び寄るサイバー攻撃者 - 解析情報にワナも
米政府、マルウェア「TrickBot」展開する標的型攻撃で注意喚起
「Exchange Server」脆弱性、ランサムウェア「DearCry」の標的に
攻撃グループ「Lazarus」のマルウェア情報を公開 - JPCERT/CC
ソフト開発会社がマルウェア開発か - ソフォスが指摘
活動再開「Emotet」、1000社以上で観測 - 発見遅らせる機能強化も
正規署名で検知回避する「SigLoader」 - VPN経由の標的型攻撃で悪用
米政府、医療分野を標的としたランサムウェアに注意喚起 - DNSで通信して検知回避
「Emotet」対策でパスワード付きzip添付ファイルのブロックを推奨 - 米政府
国内組織で「HIDDEN COBRA」のマルウェアを観測 - ファイルサイズは約150Mバイト