張格

最近，一個被稱為Worok的網(wǎng)絡(luò)間諜組織被發(fā)現(xiàn)在看似無害的圖像文件中隱藏惡意軟件，它的存在是攻擊者感染鏈中的一個關(guān)鍵環(huán)節(jié)。捷克網(wǎng)絡(luò)安全公司Avast表示，PNG格式文件作為隱藏信息盜竊的有效載荷，有很大的隱蔽性。

斯洛伐克網(wǎng)絡(luò)安全公司還記錄了Worok的破壞序列，它利用了一個名為CLRLoad的基于C++的加載器，為嵌入PNG圖像的未知PowerShell腳本鋪平道路，這種技術(shù)被稱為隱寫術(shù)。也就是說，盡管某些入侵行為需要使用Exchange服務(wù)器中的ProxyShell漏洞來部署惡意軟件，但最初的攻擊載體仍然是未知的。Avast的研究結(jié)果表明，該組織在獲得初始訪問權(quán)后利用DLL側(cè)載來執(zhí)行CLRLoad惡意軟件，但在受感染環(huán)境中進(jìn)行橫向移動之前并沒有。

之所以這些PNG圖片看起來很無害，是因為PNG文件位于C：＼Program Files＼Internet Explorer中，圖片不會引起注意，而且Internet Explorer也有一個類似的主題。

這種新的惡意軟件，代號為DropboxControl，作為一種信息竊取工具，它使用Dropbox賬戶進(jìn)行命令和控制，使攻擊者能夠上傳和下載文件到特定的文件夾，以及運行存在于某個文件中的命令。其中一些值得注意的命令包括執(zhí)行任意可執(zhí)行文件、下載和上傳數(shù)據(jù)、刪除和重命名文件、捕獲文件信息、嗅探網(wǎng)絡(luò)通信和滲出系統(tǒng)元數(shù)據(jù)的能力。

研究人員總結(jié)說：Worok的工具在流行率很低，所以它可以表明該工具集是一個APT項目，側(cè)重于亞洲、非洲和北美的私營和公共部門的高知名度實體。