ステガノグラフィ(Steganography)攻撃が報告される PNG画像にマルウェアを隠ぺい

Avast Softwareがステガノグラフィを使ったサイバー攻撃の詳細情報を公開した。アジアの有名企業や地方自治体を標的にしていることが指摘されている。

» 2022年11月16日 10時18分 公開
[後藤大地有限会社オングス]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 Avast Softwareは2022年11月10日(現地時間)、自社Webサイトにおいて画像ファイルにマルウェアを隠蔽(いんぺい)するステガノグラフィ(Steganography)を利用したサイバー攻撃について伝えた。

 PNG画像ファイルのデータに攻撃用のペイロードデータが埋め込まれており、最終的にデータ窃取を目的としたサイバー攻撃が展開される手口が解説されている。

PNG Steganography Hides Backdoor PNG Steganography Hides Backdoor(出典:Avast Threat LabsのWebページ)
Avast Softwareは実際にC#のプログラムコードを仕込んだPNG画像とその解析方法も解説している(出典:Avast Threat LabsのWebページ)

巧妙化するサイバー攻撃、ステガノグラフィに加えDropboxも悪用

 ステガノグラフィを利用したサイバー攻撃の手口の詳細については以下のページを確認してほしい。

 このような画像ファイルにマルウェアを隠蔽するステガノグラフィを使ったサイバーセキュリティキャンペーンはすでにESETのセキュリティ研究者などによって文書化されており、少なくとも2020年から活動が行われていることが明らかになっている。こうした攻撃を展開するサイバー犯罪グループは「Worok」と呼ばれ、アジアの有名企業や地方自治体を標的としていることも明らかになっている。

 PNG画像ファイルには攻撃用のスクリプトなどのペイロードが隠蔽されており、専用のローダを使ってPNG画像ファイルの指定の位置からペイロードを抽出する仕組みだ。Avast Softwareは、今回抽出された攻撃用ペイロードとして新たに「DropboxControl」を発見したと伝えている。

 Avast Softwareが発見したとされる新しいペイロードはDropboxのサービスを利用して攻撃者と通信するためのバックドアであることも判明している。DropboxリポジトリやDropbox APIもこれらサイバー攻撃に悪用されている。

 攻撃者はさまざまな技術を使ってサイバー攻撃を仕掛けてくる。広く使われてるサービスを流用することで、セキュリティソフトウェアによる検出を回避する手法も、近年ひんぱんに利用されているので、注意してほしい。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ