ニュース

カスペルスキー、マルウェア「LODEINFO」の亜種が観測されたと発表

過去に日本年金機構不正アクセスを行った攻撃グループ「APT10」関与の可能性

日本企業を標的としたファイルレスバックドア「LODEINFO」

株式会社カスペルスキー グローバル調査分析チーム(GReAT)マルウェアリサーチャーの石丸傑氏

 株式会社カスペルスキーは12月9日、日本の組織を標的としたファイルレス型マルウェア「LODEINFO」とそこから派生したと考えられる2つのマルウェアに関するプレスセミナーを開催した。発表はカスペルスキーの解析チームのカスペルスキーグローバル調査分析チーム(GReAT)アジア太平洋地域に所属するマルウェアリサーチャーの石丸傑氏が行った。

 冒頭、石丸氏はLODEINFOについて紹介した。LODEINFOは、2019年12月ごろからバージョンアップを繰り返しながら日本国内の組織に対して攻撃が続いている。

日本を標的としたAPTで利用されていたファイルレス型マルウェア「LODEINFO」。Word/Excelのファイルを添付するかたちで送り付けられる
2019年に最初に観測されてから少なくても14のバージョンが存在しており、継続的に更新している

 LODEINFOは主に不正なOfficeドキュメント(Word/Excel)が添付されたメールを使用して送り付ける。受信者が「コンテンツの有効化」を行うとVBAによってマルウェア本体がメモリ内に復号化して実行される。

 最終的に内部情報を窃取することを目的としており「過去3カ月(2021年8月27日~11月26日)に900件近い検知があり、現在も継続した攻撃が行われている」という。カスペルスキーのアンチウイルス製品は2019年の初観測以降、継続的なLODEINFOのシグネチャ対応を行っている。

複数のモジュールを使用しており、ペイロードタイプも基本はシェルコード。一番下があとで説明のある亜種
LODEINFOの特徴を元に検知シグネチャを作成している

 LODEINFOという名前は初期検体にLOADPNGという文字列が初期検体にあったことと「png_info.pdb」というプログラムデータベースパスがある事から名付けられている。また、バージョン番号が内部に記載されているという特徴がある。2019年12月に発見されたLODEINFOはバージョン0.1.2だったが継続的にアップデートされており、最新の検体は2021年11月に発見されたバージョン0.5.6で、キーロガーやファイル暗号化機能の機能拡張が行われている。

LODEINFOの亜種としてDOWNJPIT、オープンソースを改造したLILIMRATを観測

 石丸氏がLODEINFOの解析を進めている過程で亜種が見つかった。これはペイロードを「JustPaste.it」というコンテンツサイトからダウンロードするため「JustPast.ITからDOWNload」から「DOWNJPIT」と命名された。

 DOWNJPITはLODEINFOの特徴を多く備えている一方、バックドア機構を持たない。メール以外にPowershellと.NETを利用し、OSを起動するたびにメモリ内に含める永続化の手法も観測された。

検体を調べるいる過程で、バックドアが含まれていないものが観測された
これが新たに観測された亜種の「DOWNJPIT」で、ウェブコンテンツにペイロードが暗号化して置かれているのが特徴
ブロック図にしてみると、バックドアコマンドだけ無くなっているのがわかる
OS起動時に自動実行される永続化モジュールも見つかったほか、DOWNJPITがLODEINFOを呼び出すパターンも見つかっている
payloadは当初JustPate.itを使用しているものが見つかったが、解析者を混乱させる目的か右の無意味なコードに変更された

 さらに調査を進めたところ、ダウンロード元にPastebin.comを利用する亜種も発見された。ダウンロード型のファイルレスマルウェアは特定のウェブコンテンツからダウンロードするため、URL先のファイルを入れ替えるだけで他のリモートアクセスツール(RAT)に変更できる。そこで見つかったのがオープンソースの「LilithRAT」を改変してコマンドを拡張したRATを実装した亜種「LILIMRAT」だ。これもDOWNJPIT同様にコンテンツサイトに同じデータ構造で埋め込まれており、独自のバックドアコマンドを追加している。

ペイロード格納元としてPastebin.comのタイプ、コンテンツの異なる別の新種が観測された
新たに観測されたのは「LILIMRAT」と命名された。本体構造は違うがデータ構造は同じなので、DOWNJPITのシェルコードを使って読み込まれている
LilithRATというGitHUBで公開されているRATを改変し、オリジナルから10の新コマンドを追加している

APT10が過去に使用したマルウェアとの類似点が多い。基本的な「コンテンツの有効化」を行わないところから対処したい

 石丸氏は今回観測されたマルウェアの製作は「APT10」として知られる中国の攻撃グループとの関連性が高いと指摘した。APT10は2015年に日本年金機構から大量の個人情報を漏えいさせる事件を起こし、Pivy、PlugX、Emdivi、RedLeaves、ANELなど複数種のRATを過去に使用してきたことで知られている。

APT10は中国の関与が疑われている攻撃グループで日本企業も長期的にターゲットにされている

 LODEINFO、DOWNJPIT、LILIMRATがAPT10が関与しているという理由について、石丸氏は過去にAPT10が使用したとみられる検体を比較すると、バージョン情報をハードコートする、C2サーバーに端末情報を送信する、パスワード保護されたドキュメントを攻撃メールの添付ファイルに使用するなど共通の手口が多く、類似点が多いと説明した。

石丸氏は過去にAPT10が使用したと思われるマルウェアとの強い類似点が見られるため、LODEINFOもAPT10が関与していると推定している

 このようにドキュメントファイルを添付したメールを送りつける標的型攻撃は現在も継続して行われている。組織は「メール添付のオフィスドキュメントで『コンテンツの有効化』は行わない」、アンチウイルスソフトやソフトの最新版を利用する基本的な対策を徹底し、さらに可能ならばEDRやSOCの導入、従業員へのセキュリティ教育等の高度な対策を行う事を推奨している。

 また、今回紹介したLODEINFOは「見えない化」が進んでいるため、セキュリティコミュニティとしても引き続き調査が必要だとまとめた。

LODEINFOとその亜種DOWNJPITと二次検体LILIMRATを今回観測し、継続的に検知されていることが明らかにされた。企業は基本的な対策の徹底と可能ならば高度な対策も検討したい