日本の国内組織を狙い、情報の窃取を試みるマルウェア、LODEINFO(ロードインフォ)。2019年以来継続して観測されており、現在にいたるまで活発に攻撃活動が行われています。LODEINFOは、新たな機能を変更したり、検知を回避するための妨害工作を行うために頻繁にアップデートを繰り返しています。今回、攻撃者による新たな感染手法が、カスペルスキーグローバル調査分析チーム(GReAT)の調査で明らかになりました。
LODEINFOとは?
LODEINFOとは、ファイルレス型のバックドアで、2020年2月のJPCERT/CCのブログで初めてその名前が使われました。攻撃の方法は、標的型攻撃メール(スピアフィッシング)で、メールの添付ファイルを開封することで感染する仕組みです。当社で最初にLODEINFOの検体を観測したのは2019年12月で、以来2022年10月までの長期間にわたり攻撃活動を行っています。標的は主に、メディア関係機関や公共団体、政府や外交組織、シンクタンクです。これまでの調査結果から、APT10グループが関与している可能性が高いとみられています。
2022年のLODEINFOについて
グローバル調査分析チーム(GReAT)は、2022年6月、LODEINFOの新しい感染手法を発見し、自己解凍実行形式であるSFXファイルが使われていることを観測しました。発見された検体の中には、著名な政治家の名前を騙る日本語のおとりファイルを用いて、政府や関係者を標的としていたと考えられるものも観測しています。また、新たなダウンローダー型のシェルコードによってLODEINFOバックドアがメモリ上にロードする事例も確認されました。ちなみにこのダウンローダー型シェルコードは、当社のリサーチャーによってDOWNIISSA(ダウンイッサ)と名付けられています。
SFXファイルを使った攻撃
2022年6月に確認されたSFXファイルの一つは、RAR形式で圧縮されており、下記の通り3つのファイルと自己解凍スクリプトが含まれています。
被害者がもしSFXファイルを開いてしまうと、デコイファイルとして%temp%フォルダー内に、1.docxを作成します。ワードファイルの中には日本語で、「申込書」「名前」「メールアドレス」などと書かれています。
この時、被害者の目に見えないところで、悪意あるDLLであるK7SysMn1.dllを、正規の実行ファイルであるK7SysMon.exeを使って読み込みします。このK7SysMn1.dllについては、攻撃者によって検知を回避するための変更が加えられており、埋め込まれているBLOBが4バイト毎に分割されていました。実行時には、DLL内のエクスポート関数によって分割されたデータをメモリ上で再構成した上で、XORでデコードすることで、最終的に、LODEINFOバックドアシェルコードが現れる仕組みになっています。
さらに別のSFXの検体では、「●●●(政治家の名前)sns用動画拡散のお願い.exe」と題された、日本の著名な政治家の名前をファイル名に使用したものでした。この検体では、K7SysMn1.dllにBLOBが埋め込まれておらず、代わりに、K7SysMon.Exe.dbをBLOBとして使用する点です。ローダーモジュールであるK7SysMn1.dllが暗号化されたBLOB、K7SysMon.Exe.dbを読み込み、LODEINFO v0.6.3を複合化し、メモリ内で感染するようになっています。
新たなダウンローダーDOWNIISSA
グローバル調査分析チーム(GReAT)は、2020年8月、LODEINFOの亜種DOWNJPIT(ダウンジピット)を観測したことについて、以前HITCON2021で発表しました。2022年6月、これとは異なる、ファイルレス型のダウンローダーが確認されました。そのダウンローダーはパスワード付きのワードファイル「日米同盟の抑止力及び対処力の強化.doc」のマクロコード内に埋め込まれていました。このファイルを開封すると日本語のメッセージが画面に表示され、その裏で下記のVBAコードが起動します。
このダウンローダーを含む感染フローはこれまで確認されておらず、このダウンローダーによって感染する最終的なペイロードの1つとして、LODEINFO v0.6.5を確認しています。当社のリサーチャーは、URLのファイルネーム、11554をとってアルファベットIISSA(イッサ)にアレンジし、DOWNIISSA(ダウンイッサ)と名付けました。
DOWNIISSAの技術的な詳細については、グローバル調査分析チーム(GReAT)が執筆したSecurelistのブログ(英語)をご覧ください。
LODEINFOの進化
カスペルスキーは、2019年からLODEINFOの調査を継続して行っています。2022年3月から6月の間に、v0.5.9, v0.6.2, v0.6.3,v0.6.5と4つの異なるバージョンが観測されています。
最近のバージョンでは、解析の妨害を目的とした難読化が施されていたり、サンドボックス環境を検知し、活動を停止する機能も確認されています。また、バックドアのコマンドを削除しているものも観測しました。これは、攻撃者が実装するコマンドを必要なものだけに集約して、効率を高めることを意図しているとみられています。
LODEINFOのバージョン毎の違いを含む詳細な解析結果については、グローバル調査分析チーム(GReAT)が執筆したSecurelistブログ(英語)をご覧ください。
本ブログ公開(2022年10月31日)までに確認されているバージョンはv0.6.7で、今後も攻撃によって感染させる手法をたえず変え、LODEINFOシェルコードも攻撃ごとにアップデートしていくものとみられています。攻撃グループは、攻撃の成功性を高めるためにこのように試行錯誤を繰り返していることから、LODEINFOは極めて危険なマルウェアといえます。現在、日本のメディアや政府機関など国の重要組織を標的としているサイバー攻撃活動のツールとして使われています。2019年に観測されて以来、現在に至るまで攻撃の頻度はほとんど変わっていません。今後も継続した調査が求められています。
推奨される対策
- Microsoft Office製品の「コンテンツの有効化」を行わない
- 基本的な対策を行い組織内のセキュリティ確保(脆弱性の確認、アンチウイルス製品など)
- 高度なセキュリティ対策(EDR、SOC、社員へのセキュリティ教育など)