JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は2月9日、公式ブログの記事「マルウェアLODEINFOのさらなる進化」において、昨年から国内で被害が続いているマルウェア「LODEINFO」がさらに機能拡張されているとして、そのアップデート内容と最近の攻撃動向を紹介した。
LOADINFOはメール添付された不正なWord文書を開くことで感染し、外部サーバからの指示を受けてさまざまな攻撃を行うトロイの木馬型マルウェア。2019年12月頃から活発化した日本国内の組織を狙った標的型攻撃によって初めて確認された。
LOADINFOを利用した攻撃の起点は、メールに添付されたWordまたはExcel文書である。添付ファイルを開いてマクロを有効化すると、文書に隠されていたLOADINFOがホスト上に展開・実行される。実行されるとsvchost.exeのプロセスを起動してペイロードをインジェクションし、サービスとして常駐する。その後は外部サーバー(C&Cサーバ)と通信してさまざまなコマンドが実行される。
-
LOADINFOの感染に利用されるWord文書の例 資料:JPCERT/CC Eyes
LOADINFOは最初に観測されて以来頻繁にアップデートを繰り返していることが知られている。JPCERT/CCでは過去2度にわたってLOADINFOの解説記事を公開しており、3回目となる今回の記事では、第2回で取り上げられたv0.3.6から最新バージョンのv0.4.8にかけてのアップデート内容が解説されている。
-
LODEINFOのバージョンの推移 資料:JPCERT/CC Eyesより
v0.3.6までのバージョンでは、LOADINFOには次の表のコマンドが実装されていることが明らかになっていた。
| コマンド | 内容 |
|---|---|
| MZ | PEファイルの実行 |
| 0xE9 | シェルコードの実行 |
| cd | カレントディレクトリの変更 |
| ls | ファイル一覧の送信 |
| send | ファイルダウンロード |
| recv | ファイルアップロード |
| cat | ファイルアップロード |
| memory | シェルコードの実行(svchost.exeにインジェクション) |
| kill | 任意プロセスの停止 |
| ver | マルウエアバージョン情報の送信 |
| スクリーンキャプチャの取得 | |
| rm | ファイルの削除 |
| ransom | 未実装 |
| keylog | 未実装 |
それに対してv0.4.8までのアップデートで、新たに次の表に挙げるコマンドが追加されたという。
| コマンド | 内容 |
|---|---|
| ransom | ファイル暗号化 |
| keylog | キーロガーの制御 |
| mv | ファイルの移動 |
| cp | ファイルのコピー |
| mkdir | ディレクトリの作成 |
| ps | プロセス一覧の表示 |
| pkill | プロセス停止 |
このうちransomとkeylogはv0.3.6では未実装だったもので、ransomコマンドには任意のファイルおよびフォルダを暗号化する機能が、keylogコマンドにはキー入力の内容を記録するキーログ機能が実装されていることが確認されたとのことだ。
ransomコマンドについては、現時点ではファイル拡張子の変更や脅迫文の作成、背景画像の変更といったランサムウェアでよく見られる処理は行われないが、痕跡の削除やデータの外部持ち出しなどに利用される可能性があると指摘されている。
Rustで有名アルゴリズムに挑戦 第17回 RustでHTTPサーバを実装してみよう
