被跟踪为 APT10 的中国 Cicada 黑客组织被观察到滥用安全软件来安装新版本的 LODEINFO 恶意软件来对付日本组织。
目标实体是日本的媒体集团、外交机构、政府和公共部门组织以及智库,这些都是网络间谍活动的高利益目标。
卡巴斯基的分析师自 2019 年以来一直在关注 APT10 在日本的行动,据卡巴斯基称,威胁参与者不断发展他们的感染策略和他们的自定义后门“LODEINFO”,以使检测变得更加困难。
这家网络安全公司发布了两份报告,一份说明了新 的 APT10 感染链技术 ,另一份重点关注 LODEINFO 的演变。
滥用安全软件
从 2022 年 3 月开始,卡巴斯基注意到日本的 APT10 攻击使用了新的感染媒介,包括鱼叉式网络钓鱼电子邮件、自解压 (SFX) RAR 文件以及滥用安全软件中的 DLL 侧载漏洞。
RAR 存档包含合法的 K7Security Suite 软件可执行文件 NRTOLD.exe 和名为 K7SysMn1.dll 的恶意 DLL。执行 NRTOLD.exe 时,它会尝试加载通常包含在软件套件中的合法 K7SysMn1.dll 文件。
但是,可执行文件不会在特定文件夹中查找 DLL,因此恶意软件开发人员可以使用与 K7SysMn1.dll 相同的名称创建恶意 DLL。
如果恶意 DLL 与合法可执行文件存储在同一文件夹中,则在启动时,可执行文件现在将加载包含 LODEINFO 恶意软件的恶意 DLL。
由于恶意软件是使用合法的安全应用程序加载的,因此其他安全软件可能不会将其检测为恶意软件。
“K7SysMn1.dll 包含一个带有混淆例程的 BLOB,在过去的活动中没有观察到,”卡巴斯基在报告中解释道。
“嵌入的 BLOB 被分成四个字节的块,每个部分都存储在 DLL 二进制文件的 50 个随机命名的导出函数之一中。”
“这些导出函数在分配的缓冲区中重建 BLOB,然后使用单字节 XOR 密钥解码 LODEINFO shellcode。”
当档案在后台提取并启动感染过程时,受害者会在前台看到一个诱饵文档,以最大限度地减少实现妥协的机会。
2022 年 6 月,卡巴斯基注意到 APT10 感染链中的另一个变种,它使用通过带有恶意 VBA 代码的受密码保护的 Microsoft Office 文档交付的无文件下载器 shellcode。
这一次,黑客不是侧载DLL,而是依靠宏代码将shellcode(DOWNISSA)直接注入并加载到WINWORD.exe进程的内存中。
新的LODEINFO
恶意软件作者在 2022 年发布了 6 个新版本的 LODEINFO,最新版本是 v0.6.7,于 2022 年 9 月发布。
2021 年底,随着 LODEINFO v0.5.6 的发布,APT10 添加了多个 C2 通信加密层,使用 Vigenere 密码密钥并结合随机生成的垃圾数据。
此外,LODEINFO v0.5.6 对后门支持的 21 条命令进行了 XOR 混淆,而在 0.5.9 版本中,引入了新的 API 函数名称哈希计算算法。
0.6.2 版增加了对 64 位平台的支持,从本质上拓宽了恶意软件的目标范围。该版本还为使用“en_US”语言环境的机器引入了豁免,以避免不必要的感染。
在 2022 年 6 月发布的 LOADEINFO v0.6.3 中,恶意软件作者删除了十个不必要的命令,可能是为了使后门更精简、更高效。
当前版本中保留的命令是:
- 显示嵌入式后门命令列表
- 从 C2 下载文件
- 上传文件到 C2
- 将shellcode注入内存
- 使用进程 ID 终止进程
- 更改目录
- 发送恶意软件和系统信息
- 截图
- 通过生成的 AES 密钥加密文件
- 使用 WM I 执行命令
- 配置(不完整的实现)
APT10 的日本定位行动的特点是不断发展、目标平台的扩展、更好的规避和隐蔽的感染链。
卡巴斯基表示,本报告未分析的 LODEINFO v0.6.6 和 v0.6.7 已经通过新的 TTP 分发,因此威胁形式不断变化,分析师和防御者很难跟上。
最近发现的与 APT10 相关的其他活动包括针对 中东和非洲政府的活动,该活动 使用隐写术和另一个 滥用 VLC 来启动自定义后门。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 黑客组织滥用杀毒软件启动LODEINFO恶意软件
