JPCERT/CC、日本国内の組織を狙ったマルウエア「LODEINFO」を確認
- 2020/02/25 10:00
- SecurityInsight
JPCERT/CCの公式ブログは2月20日、2019年12月ごろに日本国内の組織を狙った標的型攻撃メールを確認し、この標的型攻撃メールには、これまでJPCERT/CCでは確認していなかった、「LODEINFO」と呼ばれる新たなマルウエアに感染させようとする不正なWord文書が添付されていたことを発表した。公式ブログでは「LODEINFO」の詳細について紹介している。その概要は以下のとおり。
JPCERT/CCが確認した検体では、Word文書のマクロを有効化することで「LODEINFO」がホスト上に作成され、以下のコマンドでrundll32.exeから実行される。
wmic process call create "cmd /c cd %ProgramData%&start rundll32.exe [LODEINFOのファイルパス] main"
その後、「LODEINFO」はsvchost.exeのプロセスを起動し、ペイロードをインジェクションして動作する。「LODEINFO」は特定のサイトとHTTPで通信を行ない、受信した命令を実行。データはAESで暗号化した後に、BASE64エンコードされている。データには、「LODEINFO」が動作しているホストのホスト名や言語環境、MACアドレスなどの情報が含まれている。
次に、LODEINFOはコマンドを受信する。C&Cサーバーからのレスポンスは、HTTP POSTリクエストと同様に、AESとBASE64を組み合わせて暗号化が行なわれている。「LODEINFO」は受信したコマンドに応じて、以下の機能などを実行する。
・PEファイルの実行
・シェルコードの実行
・ファイルのアップロード・ダウンロード
・プロセスの停止
・ファイル一覧の送信
・マルウエアバージョン情報の送信
「LODEINFO」で利用されているコードについては、「LODEINFO」を分析した結果、GitHub上で公開されているLodePNGと呼ばれる、PNGファイルのエンコーダー/デコーダーのソースコードと類似する部分が多数あることを確認した。ただし、LodePNGの機能を悪用している箇所は確認できていないため、攻撃者が当該コードを利用している理由については不明。
「LODEINFO」には複数の箇所でデバッグ用と思われる文字列が記載されている他、バージョン情報としてv0.1.2といった文字列が確認でき、現在も開発途中の可能性がある。今後も「LODEINFO」を利用した攻撃が続く可能性もあるため、注意が必要だとしている。