日本企業を標的としたファイルレスバックドア「LODEINFO」
株式会社カスペルスキー グローバル調査分析チーム(GReAT)マルウェアリサーチャーの石丸傑氏
株式会社カスペルスキーは12月9日、日本の組織を標的としたファイルレス型マルウェア「LODEINFO」とそこから派生したと考えられる2つのマルウェアに関するプレスセミナーを開催した。発表はカスペルスキーの解析チームのカスペルスキーグローバル調査分析チーム(GReAT)アジア太平洋地域に所属するマルウェアリサーチャーの石丸傑氏が行った。
冒頭、石丸氏はLODEINFOについて紹介した。LODEINFOは、2019年12月ごろからバージョンアップを繰り返しながら日本国内の組織に対して攻撃が続いている。
日本を標的としたAPTで利用されていたファイルレス型マルウェア「LODEINFO」。Word/Excelのファイルを添付するかたちで送り付けられる
2019年に最初に観測されてから少なくても14のバージョンが存在しており、継続的に更新している
LODEINFOは主に不正なOfficeドキュメント(Word/Excel)が添付されたメールを使用して送り付ける。受信者が「コンテンツの有効化」を行うとVBAによってマルウェア本体がメモリ内に復号化して実行される。
最終的に内部情報を窃取することを目的としており「過去3カ月(2021年8月27日~11月26日)に900件近い検知があり、現在も継続した攻撃が行われている」という。カスペルスキーのアンチウイルス製品は2019年の初観測以降、継続的なLODEINFOのシグネチャ対応を行っている。
複数のモジュールを使用しており、ペイロードタイプも基本はシェルコード。一番下があとで説明のある亜種
LODEINFOの特徴を元に検知シグネチャを作成している
LODEINFOという名前は初期検体にLOADPNGという文字列が初期検体にあったことと「png_info.pdb」というプログラムデータベースパスがある事から名付けられている。また、バージョン番号が内部に記載されているという特徴がある。2019年12月に発見されたLODEINFOはバージョン0.1.2だったが継続的にアップデートされており、最新の検体は2021年11月に発見されたバージョン0.5.6で、キーロガーやファイル暗号化機能の機能拡張が行われている。
APT10が過去に使用したマルウェアとの類似点が多い。基本的な「コンテンツの有効化」を行わないところから対処したい
石丸氏は今回観測されたマルウェアの製作は「APT10」として知られる中国の攻撃グループとの関連性が高いと指摘した。APT10は2015年に日本年金機構から大量の個人情報を漏えいさせる事件を起こし、Pivy、PlugX、Emdivi、RedLeaves、ANELなど複数種のRATを過去に使用してきたことで知られている。
APT10は中国の関与が疑われている攻撃グループで日本企業も長期的にターゲットにされている
LODEINFO、DOWNJPIT、LILIMRATがAPT10が関与しているという理由について、石丸氏は過去にAPT10が使用したとみられる検体を比較すると、バージョン情報をハードコートする、C2サーバーに端末情報を送信する、パスワード保護されたドキュメントを攻撃メールの添付ファイルに使用するなど共通の手口が多く、類似点が多いと説明した。
石丸氏は過去にAPT10が使用したと思われるマルウェアとの強い類似点が見られるため、LODEINFOもAPT10が関与していると推定している
このようにドキュメントファイルを添付したメールを送りつける標的型攻撃は現在も継続して行われている。組織は「メール添付のオフィスドキュメントで『コンテンツの有効化』は行わない」、アンチウイルスソフトやソフトの最新版を利用する基本的な対策を徹底し、さらに可能ならばEDRやSOCの導入、従業員へのセキュリティ教育等の高度な対策を行う事を推奨している。
また、今回紹介したLODEINFOは「見えない化」が進んでいるため、セキュリティコミュニティとしても引き続き調査が必要だとまとめた。
LODEINFOとその亜種DOWNJPITと二次検体LILIMRATを今回観測し、継続的に検知されていることが明らかにされた。企業は基本的な対策の徹底と可能ならば高度な対策も検討したい
