BoxCaon

2017年頃に観測されていたマルウェアのひとつに、「xCaon」というものがあります。
xCaonはトロイの木馬に分類されるもので、次のような機能を持ったものでした。

  • リモートアクセス接続の確立
  • キーボード入力のキャプチャ
  • システム情報の収集
  • ファイルのダウンロード/アップロード
  • 感染したシステムへの他のマルウェアのドロップ
  • サービス拒否(DoS)攻撃の実行
  • プロセスの実行/終了

実に多機能です。
今時のマルウェアと比較してもそんなに古い感じはしません。
このxCaonによく似た新しいマルウェアが確認されています。
「BoxCaon」です。
こんな感じで展開されます。

  • 政府関係者に記者会見に関連したメールが届く
  • メールにはパスワード付きのrarファイルが添付されていて記者会見の関連資料を思わせるファイル名になっている
  • 添付ファイルを解凍するとexeファイルがでてくる
  • このexeがドロッパーとなっている
  • ドロッパーはバックドアを所定のPATHにダウンロードする(これがBoxCaon)
  • BoxCaonは攻撃者が制御するアカウント内の被害者ごとに一意に用意されたDropboxフォルダーを使用する
  • そのDropboxフォルダーのなかの「d」というフォルダに入っているものを被害者PCにダウンロードする
  • ダウンロードしたものの中に「c.txt」というものがあれば、それをcmd.exeなどの現地にあるツールで実行する
  • 収集した情報などはDropboxフォルダーにアップロードする
  • ログオン時に毎回実行されるようにレジストリに書き込む

設計はxCaonで、実装は新しいものになっているといえそうです。
これまでの他のxCaonは通信内容を暗号化し独自のC2と通信するものでしたが、そのあたりがこちらではDropboxになっています。
通信手段として通常のDropBoxのAPIを使ったものとなっていますので、ネットワークの動きをみるという手法ではこれを特定することは従来のものよりも難しいかもしれません。

また厄介なマルウェアが出てきたという感じです。

参考記事(外部リンク):Dropbox Used to Mask Malware Movement in Cyberespionage
Campaign

threatpost.com/dropbox-malware-ongoing-spearphishing-cyberespionage/167402/

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。