BoxCaon

2017年頃に観測されていたマルウェアのひとつに、「xCaon」というものがあります。
xCaonはトロイの木馬に分類されるもので、次のような機能を持ったものでした。

• リモートアクセス接続の確立
• キーボード入力のキャプチャ
• システム情報の収集
• ファイルのダウンロード/アップロード
• 感染したシステムへの他のマルウェアのドロップ
• サービス拒否（DoS）攻撃の実行
• プロセスの実行/終了

実に多機能です。
今時のマルウェアと比較してもそんなに古い感じはしません。
このxCaonによく似た新しいマルウェアが確認されています。
「BoxCaon」です。
こんな感じで展開されます。

• 政府関係者に記者会見に関連したメールが届く
• メールにはパスワード付きのrarファイルが添付されていて記者会見の関連資料を思わせるファイル名になっている
• 添付ファイルを解凍するとexeファイルがでてくる
• このexeがドロッパーとなっている
• ドロッパーはバックドアを所定のPATHにダウンロードする（これがBoxCaon）
• BoxCaonは攻撃者が制御するアカウント内の被害者ごとに一意に用意されたDropboxフォルダーを使用する
• そのDropboxフォルダーのなかの「d」というフォルダに入っているものを被害者PCにダウンロードする
• ダウンロードしたものの中に「c.txt」というものがあれば、それをcmd.exeなどの現地にあるツールで実行する
• 収集した情報などはDropboxフォルダーにアップロードする
• ログオン時に毎回実行されるようにレジストリに書き込む

設計はxCaonで、実装は新しいものになっているといえそうです。
これまでの他のxCaonは通信内容を暗号化し独自のC2と通信するものでしたが、そのあたりがこちらではDropboxになっています。
通信手段として通常のDropBoxのAPIを使ったものとなっていますので、ネットワークの動きをみるという手法ではこれを特定することは従来のものよりも難しいかもしれません。

また厄介なマルウェアが出てきたという感じです。

参考記事（外部リンク）：Dropbox Used to Mask Malware Movement in Cyberespionage
Campaign
threatpost.com/dropbox-malware-ongoing-spearphishing-cyberespionage/167402/