日本国内の組織を狙う新たなマルウェア「LODEINFO」、メール添付のWord文書から感染、JPCERT/CCが注意喚起

　日本国内の組織を狙い、マルウェア「LODEINFO」に感染させる標的型攻撃メールを確認したとして、一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）が情報を公開した。

　標的型攻撃メールには、JPCERT/CCでこれまで確認していないLODEINFOと呼ばれる新たなマルウェアに感染させる不正なWord文書が添付されていた。この検体では、Word文書のマクロを有効化することでLODEINFOがホスト上に作成され、以下のコマンドでrundll32.exeから実行される。

　その後、LODEINFOはsvchost.exeのプロセスを起動し、ペイロードをインジェクションして動作する。

LODEINFOが動作するまでの流れ

　LODEINFOは、特定のサイトとHTTPで通信を行い、受信した命令を実行する。LODEINFOが送信するデータには、LODEINFOが動作しているホストのホスト名や言語環境、MACアドレスなどの情報が含まれていた。また、LODEINFOはC&Cサーバーから受信した命令に応じて、シェルコードの実行、ファイルのアップロード／ダウンロード、プロセスの停止、ファイル一覧の送信などを実行する機能を備えていた。

　LODEINFOを分析した結果、GitHub上で公開されているPNGファイルのエンコーダー／デコーダー「LodePNG」のソースコードと類似する部分が多数あることが確認された。しかし、LodePNGの機能を悪用している箇所は確認できていないため、攻撃者が同ソースコードを利用している理由については不明だという。

　また、LODEINFOには複数の箇所でデバッグ用と思われる文字列が記載されていたほか、バージョン情報として「v0.1.2」といった文字列も確認された。現在も開発途中の可能性があり、今後もLODEINFOを利用した攻撃が続く可能性が考えられるとして、JPCERT/CCは注意を促している。