张格

最近，一个被称为Worok的网络间谍组织被发现在看似无害的图像文件中隐藏恶意软件，它的存在是攻击者感染链中的一个关键环节。捷克网络安全公司Avast表示，PNG格式文件作为隐藏信息盗窃的有效载荷，有很大的隐蔽性。

斯洛伐克网络安全公司还记录了Worok的破坏序列，它利用了一个名为CLRLoad的基于C++的加载器，为嵌入PNG图像的未知PowerShell脚本铺平道路，这种技术被称为隐写术。也就是说，尽管某些入侵行为需要使用Exchange服务器中的ProxyShell漏洞来部署恶意软件，但最初的攻击载体仍然是未知的。Avast的研究结果表明，该组织在获得初始访问权后利用DLL侧载来执行CLRLoad恶意软件，但在受感染环境中进行横向移动之前并没有。

之所以这些PNG图片看起来很无害，是因为PNG文件位于C：＼Program Files＼Internet Explorer中，图片不会引起注意，而且Internet Explorer也有一个类似的主题。

这种新的恶意软件，代号为DropboxControl，作为一种信息窃取工具，它使用Dropbox賬户进行命令和控制，使攻击者能够上传和下载文件到特定的文件夹，以及运行存在于某个文件中的命令。其中一些值得注意的命令包括执行任意可执行文件、下载和上传数据、删除和重命名文件、捕获文件信息、嗅探网络通信和渗出系统元数据的能力。

研究人员总结说：Worok的工具在流行率很低，所以它可以表明该工具集是一个APT项目，侧重于亚洲、非洲和北美的私营和公共部门的高知名度实体。