innovaTopia

ーTech for Human Evolutionー

News Category

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーとエンタメ
チャットボット
ブロックチェーン
半導体
バイオテクノロジー
ニューロテクノロジー
ロボティクス
ヘルスケア
テクノロジーと社会
サステナブル

もっと見る

エネルギー
ナノテクノロジー
メタバース
ドローン
モビリティ
スマート農業
スマート工場
3Dプリンター
デジタルツイン
IoT
エッジコンピューティング
デジタルアイデンティティ
ビッグデータ
クラウドコンピューティング
テクノロジーと経済
未分類

スピアフィッシング警報:日本狙う「LODEINFO」マルウェア進化!

スピアフィッシング警報:日本狙う「LODEINFO」マルウェア進化! - innovaTopia - (イノベトピア)

Last Updated on 2024-07-02 09:47 by admin

【ダイジェスト】

サイバーセキュリティの研究者たちは、スピアフィッシング攻撃を通じて配布される「LODEINFO」と呼ばれるバックドアの更新版を発見しました。このマルウェアは、新しい機能と分析回避技術の変更が加えられています。日本のITOCHU Cyber & Intelligence社によると、LODEINFO(バージョン0.6.6および0.6.7)は、任意のシェルコードを実行し、スクリーンショットを撮影し、ファイルを攻撃者が制御するサーバーに送り返す能力を持っていると2022年11月にKasperskyによって初めて文書化されました。

中国の国家支援アクターであるStone Panda(別名APT10、Bronze Riverside、Cicada、Earth Tengshe、MirrorFace、Potassium)による作品であり、2021年以降、日本を標的にした攻撃を組織しています。攻撃チェーンは、悪意のあるMicrosoft Word文書を搭載したフィッシングメールから始まり、開かれるとVBAマクロを実行して最終的にLODEINFOインプラントを実行するダウンローダーシェルコードを起動します。

2023年に観察されたLODEINFOの感染経路は、被害者が誘導Word文書を開くたびに敵対者のインフラストラクチャ上でホストされている悪意のあるマクロを取得して実行するリモートテンプレートインジェクション方法を利用していることも明らかになりました。さらに、2023年6月頃には、Microsoft Officeの言語設定を確認して日本語であることを確認するチェックが追加されましたが、LODEINFOバージョン0.7.1を利用した攻撃で1ヶ月後には削除されました。

LODEINFOバージョン0.7.1を配信する攻撃で注目すべき変更点は、シェルコードダウンローダーがC2サーバーからPrivacy-Enhanced Mail(PEM)に偽装したファイルを取得し、それによってバックドアを直接メモリにロードする新しい中間段階の導入です。ダウンローダーは、悪意のあるコードを隠すための自己修正メカニズム、コマンドアンドコントロール(C2)サーバー情報のエンコーディング方法、および偽のPEMファイルから復号化されたデータの構造に基づいて、既知のファイルレスダウンローダーであるDOWNIISSAと類似点を共有しています。

「LODEINFOバックドアシェルコードは、攻撃者が感染したホストにリモートアクセスして操作することを可能にするファイルレスマルウェアです」とITOCHUは述べ、2023年と2024年に見つかったサンプルには追加のコマンドが組み込まれているとしています。最新バージョンのLODEINFOは0.7.3です。

対策として、LODEINFOのダウンローダーシェルコードとバックドアシェルコードの両方がファイルレスマルウェアであるため、メモリ内のマルウェアをスキャンして検出できる製品を導入することが不可欠です。

【ニュース解説】

サイバーセキュリティの研究者たちが、特定のターゲットに向けたスピアフィッシング攻撃を通じて配布されるLODEINFOというバックドア型マルウェアの新しいバージョンを発見しました。このマルウェアは、攻撃者が遠隔から被害者のコンピュータにアクセスし、操作することを可能にするものです。LODEINFOは、中国の国家支援ハッカーグループであるStone Pandaによって開発され、日本を含む特定の国々を標的にしています。

LODEINFOは、ファイルレスマルウェアとして知られており、感染したコンピュータのハードドライブ上にファイルを残さずにメモリ内で直接実行されるため、従来のウイルス対策ソフトウェアによる検出が困難です。このマルウェアは、悪意のあるMicrosoft Word文書を開くことで活性化されるVBAマクロを使用して、ダウンローダーシェルコードを実行し、最終的にはバックドアをメモリにロードします。

最新の攻撃では、リモートテンプレートインジェクションという手法が使われており、被害者がWord文書を開くたびに攻撃者のサーバーから悪意のあるマクロを取得して実行します。また、攻撃者はマルウェアの検出を避けるために、Microsoft Officeの言語設定を確認するなどの分析回避技術を導入しています。

LODEINFOのバージョン0.7.1では、Privacy-Enhanced Mail(PEM)に偽装したファイルをダウンロードし、それを使ってバックドアをメモリに直接ロードする新しい手法が導入されました。このダウンローダーは、悪意のあるコードを隠す自己修正メカニズムや、C2サーバー情報のエンコーディング方法など、既知のファイルレスダウンローダーであるDOWNIISSAと類似しています。

このようなファイルレスマルウェアに対抗するためには、メモリ内で動作するマルウェアを検出できるセキュリティ製品の導入が重要です。これにより、攻撃者がリモートからコンピュータにアクセスすることを防ぐことができます。

このマルウェアの進化は、サイバーセキュリティの分野において、攻撃者が常に新しい手法を開発していることを示しており、企業や組織は常に警戒し、最新のセキュリティ対策を講じる必要があります。また、このような脅威は、政府機関や重要なインフラを標的にする可能性があるため、国家安全保障にとっても重要な問題です。ポジティブな側面としては、このような脅威の発見と公表が、他の組織が防御策を強化するきっかけとなることが挙げられますが、潜在的なリスクとしては、攻撃者がさらに巧妙な手法を開発することで、検出がさらに困難になる可能性があります。将来的には、AIや機械学習を活用した自動化されたセキュリティ対策が、このような高度な脅威に対抗する鍵となるでしょう。

from LODEINFO Fileless Malware Evolves with Anti-Analysis and Remote Code Tricks.

author avatar
admin
See Full Bio
ホーム » サイバーセキュリティ » サイバーセキュリティニュース » スピアフィッシング警報:日本狙う「LODEINFO」マルウェア進化!

Latest News