- 卡巴斯基的研究人员披露了 LodeInfo 恶意软件,该恶意软件利用防病毒程序中的一个漏洞来获取受害者的敏感数据。
- 这种名为 APT10 的恶意软件欺骗了日本各个组织的员工下载受感染的软件。
- 恶意软件开发人员在 2022 年 3 月至 2022 年 9 月期间使用了四种不同的方法进入受害者的设备。
卡巴斯基的网络安全研究人员最近发现了被称为 APT10 的 Cicada,它欺骗日本多个组织的员工下载该公司 K7Security Suite 的受损版本。不幸的是,被欺骗的员工最终在他们的系统中安装了 LodeInfo 恶意软件。
以针对目标的间谍活动为目标
自 2019 年恶意软件首次出现以来,卡巴斯基的研究人员一直在观察它。他们将恶意软件描述为由其开发人员定期修改和升级,以成为针对组织的更复杂的网络间谍工具。研究人员在他们最近发表的双 博客文章中表示,该威胁组织的目标是日本的知名人士,特别是针对间谍活动。
在他们博客文章的前半部分,研究人员提到了发现的恶意软件的当前版本,分别是 v0.6.6 和 v0.6.7。在 3 月至 9 月期间跟踪了各种感染方法。第二部分公开了对旧版本 LodeInfo shellcode 的检查,包括 v0.5.9、v0.6.2、v0.6.3 和 v0.6.5。他们分别在 3 月、4 月和 6 月被发现。
LodeInfo的四种不同方法
据研究人员称,恶意软件开发人员使用四种不同的感染方法在受害者系统上获取 LodeInfo 后门。
方法1; 于 3 月被发现,并以包含安装恶意软件持久性模块的恶意附件的鱼叉式网络钓鱼电子邮件开始。这些模块包括来自用于 DLL 侧载的 K7Security Suite 软件的合法 EXE 文件,以及通过 DLL 侧载技术加载的讨厌的 DLL 文件。
方法2;使用 RAR 格式的自解压存档 (SFX) 文件,包括三个带有自解压脚本命令的文件。一旦目标用户执行此 SFX 文件,存档就会删除其他文件并打开一个仅包含几个日语单词的 .docx 作为诱饵。在向用户显示诱饵文件时,存档脚本会启动 K7SysMon.exe,它会从 K7SysMn1.dll 加载恶意 DLL。
方法3;使用了另一个 SFX 文件,该文件最初是在 6 月通过鱼叉式网络钓鱼活动传播的。它利用了一位著名的日本政治家的名字,并使用了与之前的向量类似的自解压脚本和文件。这种初始感染方法还包含一个附加文件,用于解密 LodeInfo v0.6.3 后门的 shellcode。
方法4;于 6 月被观察到,似乎是恶意软件开发人员今年添加的一种全新方法。该向量使用了一个名为 DOWNJPIT 的无文件下载器 shellcode,它是 LODEINFO 恶意软件的一种变体,由受密码保护的 Microsoft Word 文件提供。该文件包含与先前检查的 LodeInfo 样本不同的恶意宏代码。研究人员说;
«与过去的样本不同,例如本文的初始感染 #1 部分中描述的样本,其中恶意 VBA 宏用于删除 DLL 侧载技术的不同组件,在这种情况下,恶意宏代码注入并加载一个直接在WINWORD.exe进程的内存中嵌入shellcode。该植入物在过去的活动中不存在,并且 shellcode 也是新发现的 LODEINFO v0.6.5 的多阶段下载器 shellcode。»
在他们的博客文章中,卡巴斯基研究人员定义了新版本恶意软件 shellcode 中显示的几种高级躲避策略。他们还概述了恶意软件开发人员如何不被抓到。例如,他们跟踪安全研究人员的出版物并学习如何更新他们的 TTP 和改进他们的恶意软件。到目前为止,尚不清楚有多少组织成为该恶意软件的受害者,以及危害的规模如何。