カスペルスキー、日本の組織を狙うファイルレス型バックドア「LODEINFO」の新たな感染手法を確認
- 2022/11/04 10:30
- SecurityInsight
カスペルスキーは11月1日、同社のグローバル調査分析チーム(GReAT)が、日本国内の組織を狙ったAPT攻撃活動で使用されるファイルレス型バックドア「LODEINFO」の新たな感染手法を確認したことを発表した。その概要は以下のとおり。
サイバー攻撃グループは標的型攻撃メールの添付ファイルとして、新たに自己解凍実行形式SFXの使用や新たなファイルレス型ダウンローダー「DOWNIISSA」を使用し、日本の政府関連組織、外交組織やメディアを狙っていた。攻撃者は活動が発見されることを回避するために、頻繁にツールや手法を変えながら攻撃を継続している。「LODEINFO」を使用した攻撃の発見はますます難しくなっており、さらなる注意と対策が必要となる。
「LODEINFO」はファイルとしての実体を持たないファイルレス型のバックドアで、感染端末内のメモリー内で展開される。感染後は攻撃者の指令サーバーと通信して感染端末内の情報を窃取。「LODEINFO」の感染経路は、標的型攻撃メールに添付されている悪意のあるファイルである。
カスペルスキーでは2019年12月から「LODEINFO」を使用した攻撃活動を観測しており、これまでに日本政府の関連組織や外交組織、シンクタンク、メディア関係を標的としていることを把握している。
ファイルレス型のマルウェアであることや攻撃活動の痕跡を削除することから、その攻撃活動を把握することが難しい上、「LODEINFO」を使用する攻撃者はリサーチャーによる攻撃活動の発見を回避するために頻繁にマルウェアや手法のアップデートを重ねている。
これまでの調査の結果から、「LODEINFO」は日本を標的としたAPT攻撃活動で使用され、サイバー攻撃グループ「APT10」との強い関連性があるとみている。