隐藏在图像中的恶意软件横跨亚洲和非洲是链条中的关键环节。根据捷克网络安全公司Avast的说法,PNG(图片格式)文件作为隐藏信息窃取的有效负载非常隐蔽。“值得注意的是,攻击者通过使用Dropbox存储库从受害者的机器上收集数据,并使用DropboxAPI与最后阶段进行通信,”该公司表示。ESET披露了针对亚洲和非洲知名公司和地方政府的Worok攻击。这家斯洛伐克网络安全公司还记录了Worok的妥协序列,该序列利用名为CLRLoad的基于C++的加载器为嵌入PNG图像的未知PowerShell脚本铺平了道路,这种技术被称为隐写术。也就是说,虽然某些入侵需要使用MicrosoftExchangeServer中的ProxyShell漏洞来部署恶意软件,但初始攻击媒介仍然未知。Avast的调查结果表明,该组织利用DLL旁加载在获得初始访问权限后执行CLRLoad恶意软件,但不会在受感染环境中横向移动之前执行。据称,CLRLoad(或称为PowHeartBeat的另一个第一阶段)启动了PNGLoad的两个变体,每个变体负责解码图像中的恶意代码以启动PowerShell脚本或基于.NETC#的有效负载。虽然这家网络安全公司指出,它能够标记一些属于第二类的PNG文件,这些文件分发了隐藏的C#恶意软件,但PowerShell脚本仍然难以捉摸。原因是,这些PNG图像看起来无害。因为,PNG文件位于C:\ProgramFiles\InternetExplorer,图片不会引起注意,InternetExplorer也有类似的主题。这种代号为DropboxControl的新恶意软件充当信息窃取工具,使用Dropbox帐户进行命令和控制,允许攻击者将文件上传和下载到特定文件夹,并运行驻留在文件中的程序。命令。一些值得注意的命令包括执行任意可执行文件、下载和上传数据、删除和重命名文件、捕获文件信息、嗅探网络通信和泄露系统元数据的能力。Avast说,柬埔寨、越南和墨西哥的公司和政府机构是受DropboxControl影响最大的几个国家,而且由于“这些有效负载的代码质量差异很大”,恶意软件的作者可能与那些CLRLoad和PNGLoad不同。无论如何,通过嵌入式病毒工具收集感兴趣的文件清楚地表明了Worok的情报收集目的。研究人员得出结论,Worok的工具在中国的普及率较低,因此这可能表明该工具集是一个APT项目,专注于亚洲、非洲和北美私营和公共部门的知名实体。
