一个被跟踪为“Worok”的威胁组织将恶意软件隐藏在 PNG 图像中,以在不发出警 的情况下用窃取信息的恶意软件感染受害者的机器。
Avast 研究人员证实了这一点,他们以 ESET 的发现为基础,ESET 是第一个在 2022 年 9 月上旬发现并 告 Worok 活动的人。
ESET 警告说, Worok 的目标是备受瞩目的受害者,包括中东、东南亚和南非的政府实体,但他们对该组织攻击链的可见性有限。
Avast 的 告基于该公司从 Worok 攻击中捕获的其他工件,证实了 ESET 关于 PNG 文件性质的假设,并添加了有关恶意软件有效负载类型和数据泄露方法的新信息。
在 PNG 文件中隐藏恶意软件
虽然用于破坏 络的方法仍然未知,但 Avast 认为 Worok 可能使用 DLL 侧载将 CLRLoader 恶意软件加载程序执行到内存中。
这是基于来自受感染机器的证据,Avast 的研究人员在其中发现了四个包含 CLRLoader 代码的 DLL。
接下来,CLRLoader 加载第二阶段的 DLL (PNGLoader),它提取嵌入在 PNG 文件中的字节并使用它们来组装两个可执行文件。
隐写术将代码隐藏在在图像查看器中打开时看起来正常的图像文件中。
在 Worok 的案例中,Avast 表示威胁参与者使用了一种称为“最低有效位 (LSB) 编码”的技术,该技术将一小块恶意代码嵌入到图像像素中最不重要的位中。
PNGLoader 从这些位中提取的第一个有效负载是 ESET 和 Avast 都无法检索的 PowerShell 脚本。
隐藏在 PNG 文件中的第二个有效负载是自定义 .NET C# 信息窃取程序 (DropBoxControl),它滥用 DropBox 文件托管服务进行 C2 通信、文件泄露等。
包含第二个有效载荷的 PNG 图像如下:
DropBox 滥用
“DropBoxControl”恶意软件使用参与者控制的 DropBox 帐户来接收数据和命令或从受感染机器上传文件。
命令存储在攻击者的 DropBox 存储库中的加密文件中,恶意软件会定期访问该存储库以检索待处理的操作。
支持的命令如下:
这些功能表明 Worok 是一个 络间谍组织,对隐蔽数据泄露、横向移动和监视受感染设备感兴趣。
Avast 评论说,从 Worok 攻击中采样的工具并未在野外传播,因此它们很可能仅由威胁组织使用。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!