ニュース
カスペルスキー、マルウェア「LODEINFO」の亜種が観測されたと発表
過去に日本年金機構不正アクセスを行った攻撃グループ「APT10」関与の可能性
2021年12月15日 16:02
日本企業を標的としたファイルレスバックドア「LODEINFO」
株式会社カスペルスキーは12月9日、日本の組織を標的としたファイルレス型マルウェア「LODEINFO」とそこから派生したと考えられる2つのマルウェアに関するプレスセミナーを開催した。発表はカスペルスキーの解析チームのカスペルスキーグローバル調査分析チーム(GReAT)アジア太平洋地域に所属するマルウェアリサーチャーの石丸傑氏が行った。
冒頭、石丸氏はLODEINFOについて紹介した。LODEINFOは、2019年12月ごろからバージョンアップを繰り返しながら日本国内の組織に対して攻撃が続いている。
LODEINFOは主に不正なOfficeドキュメント(Word/Excel)が添付されたメールを使用して送り付ける。受信者が「コンテンツの有効化」を行うとVBAによってマルウェア本体がメモリ内に復号化して実行される。
最終的に内部情報を窃取することを目的としており「過去3カ月(2021年8月27日~11月26日)に900件近い検知があり、現在も継続した攻撃が行われている」という。カスペルスキーのアンチウイルス製品は2019年の初観測以降、継続的なLODEINFOのシグネチャ対応を行っている。
LODEINFOという名前は初期検体にLOADPNGという文字列が初期検体にあったことと「png_info.pdb」というプログラムデータベースパスがある事から名付けられている。また、バージョン番号が内部に記載されているという特徴がある。2019年12月に発見されたLODEINFOはバージョン0.1.2だったが継続的にアップデートされており、最新の検体は2021年11月に発見されたバージョン0.5.6で、キーロガーやファイル暗号化機能の機能拡張が行われている。
LODEINFOの亜種としてDOWNJPIT、オープンソースを改造したLILIMRATを観測
石丸氏がLODEINFOの解析を進めている過程で亜種が見つかった。これはペイロードを「JustPaste.it」というコンテンツサイトからダウンロードするため「JustPast.ITからDOWNload」から「DOWNJPIT」と命名された。
DOWNJPITはLODEINFOの特徴を多く備えている一方、バックドア機構を持たない。メール以外にPowershellと.NETを利用し、OSを起動するたびにメモリ内に含める永続化の手法も観測された。
さらに調査を進めたところ、ダウンロード元にPastebin.comを利用する亜種も発見された。ダウンロード型のファイルレスマルウェアは特定のウェブコンテンツからダウンロードするため、URL先のファイルを入れ替えるだけで他のリモートアクセスツール(RAT)に変更できる。そこで見つかったのがオープンソースの「LilithRAT」を改変してコマンドを拡張したRATを実装した亜種「LILIMRAT」だ。これもDOWNJPIT同様にコンテンツサイトに同じデータ構造で埋め込まれており、独自のバックドアコマンドを追加している。
APT10が過去に使用したマルウェアとの類似点が多い。基本的な「コンテンツの有効化」を行わないところから対処したい
石丸氏は今回観測されたマルウェアの製作は「APT10」として知られる中国の攻撃グループとの関連性が高いと指摘した。APT10は2015年に日本年金機構から大量の個人情報を漏えいさせる事件を起こし、Pivy、PlugX、Emdivi、RedLeaves、ANELなど複数種のRATを過去に使用してきたことで知られている。
LODEINFO、DOWNJPIT、LILIMRATがAPT10が関与しているという理由について、石丸氏は過去にAPT10が使用したとみられる検体を比較すると、バージョン情報をハードコートする、C2サーバーに端末情報を送信する、パスワード保護されたドキュメントを攻撃メールの添付ファイルに使用するなど共通の手口が多く、類似点が多いと説明した。
このようにドキュメントファイルを添付したメールを送りつける標的型攻撃は現在も継続して行われている。組織は「メール添付のオフィスドキュメントで『コンテンツの有効化』は行わない」、アンチウイルスソフトやソフトの最新版を利用する基本的な対策を徹底し、さらに可能ならばEDRやSOCの導入、従業員へのセキュリティ教育等の高度な対策を行う事を推奨している。
また、今回紹介したLODEINFOは「見えない化」が進んでいるため、セキュリティコミュニティとしても引き続き調査が必要だとまとめた。
