هکرهای Worok از Dropbox API برای استخراج داده ها از طریق Backdoor پنهان در تصاویر سوء استفاده می کنند.

گروه جاسوسی سایبری Worok که جدیداً فعالیت های جاسوسی خود را آغاز نموده است، بدافزارها را در فایل های تصویری به ظاهر بی ضرر مخفی می کند و ایجاد پیوندی مهم در زنجیره آلوده نمودن قربانیان را تأیید می کند.

کارشناسان Avast که بر اساس اکتشافات ESET، اولین کسانی که متوجه گروه تهدید معروف به “Worok” و گزارش آن شدند، اعلام کردند: « هدف از فایل‌های PNG پنهان کردن محموله‌ای است که برای تسهیل سرقت اطلاعات استفاده می‌شود. آنچه قابل توجه است جمع‌آوری داده‌ها از ماشین‌های قربانیان با استفاده از مخزن DropBox و همچنین مهاجمان با استفاده از DropBox API برای ارتباط با مرحله نهایی است.»

این بدافزار جدید که DropBoxControl نام دارد، یک ایمپلنت برای سرقت اطلاعات است که از حساب Dropbox برای فرمان و کنترل استفاده می‌کند و عامل تهدید را قادر می‌سازد تا فایل‌ها را در پوشه‌های خاص آپلود و دانلود کند و همچنین دستورات موجود در یک فایل خاص را اجرا کند.

ظاهراً این بدافزار توسط مهاجمان با استفاده از نقص های ProxyShell منتشر شده است. در چند مورد نادر، آسیب‌پذیری‌های ProxyShell برای حفظ پایداری در شبکه قربانی مورد سوء استفاده قرار گرفتند.

برخی از دستورات قابل توجه عبارتند از: توانایی اجرای فایل های اجرایی دلخواه، دانلود و آپلود داده ها، حذف و تغییر نام فایل ها، ضبط اطلاعات فایل، شنود ارتباطات شبکه و استخراج ابرداده های سیستم.

گزارش ها می گویند که بدافزار شرکت ها و دولت های محلی در آسیا را هدف قرار می دهد. در حال حاضر، آنها شرکت های انرژی در آسیای مرکزی و نهادهای بخش دولتی در جنوب شرقی آسیا را هدف قرار داده اند تا داده ها را بر اساس انواع شرکت های مورد حمله به سرقت ببرند.

محققان نتیجه گرفتند: «شیوع ابزار Worok در طبیعت کم است، بنابراین می‌تواند نشان دهد که مجموعه ابزار یک پروژه APT است که بر نهادهای برجسته در بخش‌های خصوصی و دولتی در آسیا، آفریقا و آمریکای شمالی تمرکز دارد.»

منبع:

https://thehackernews.com/2022/11/worok-hackers-abuse-dropbox-api-to.html