Cybersicherheitsforscher haben eine aktualisierte Version eines Backdoors namens LODEINFO entdeckt, das über Spear-Phishing-Angriffe verbreitet wird. Die Ergebnisse stammen von dem japanischen Unternehmen ITOCHU Cyber & Intelligence, das sagt, dass die Malware „mit neuen Funktionen aktualisiert wurde, sowie Änderungen an den Anti-Analyse-Techniken (Vermeidung von Analysen)“. LODEINFO (Versionen 0.6.6 und 0.6.7) wurde erstmals im November 2022 von Kaspersky dokumentiert und seine Fähigkeiten zur Ausführung von beliebigem Shellcode, zur Aufnahme von Screenshots und zum Ausfiltern von Dateien auf einen vom Angreifer kontrollierten Server beschrieben. Einen Monat später veröffentlichte ESET Angriffe auf japanische politische Einrichtungen, die zum Einsatz von LODEINFO führten.
Das Backdoor stammt von einem chinesischen Akteur staatlichen Ursprungs namens Stone Panda (auch bekannt als APT10, Bronze Riverside, Cicada, Earth Tengshe, MirrorFace und Potassium), der seit 2021 Angriffe auf Japan durchführt. Die Angriffsketten beginnen mit Phishing-E-Mails, die bösartige Microsoft Word-Dokumente enthalten, die beim Öffnen VBA-Makros ausführen, um Downloader-Shellcode zu starten, der letztendlich das LODEINFO-Implantat ausführt.
LODEINFO-Infektionspfade, die 2023 beobachtet wurden, nutzen auch Methoden zur Fernvorlageninjektion, um bösartige Makros aus der Infrastruktur des Angreifers abzurufen und auszuführen, jedes Mal wenn das Opfer ein Köder-Word-Dokument mit der Vorlage öffnet. Darüber hinaus wurden Prüfungen hinzugefügt, um die Spracheinstellungen von Microsoft Office zu überprüfen und zu bestätigen, ob es sich um Japanisch handelt, ungefähr im Juni 2023, nur um einen Monat später in Angriffen, die LODEINFO Version 0.7.1 nutzen, entfernt zu werden.
„Weiterhin wurde der Dateiname der maldoc selbst von Japanisch auf Englisch geändert“, bemerkt ITOCHU. „Daraus schließen wir, dass wahrscheinlich v0.7.1 verwendet wurde, um Umgebungen in Sprachen außer Japanisch anzugreifen.“ Eine weitere bemerkenswerte Veränderung bei Angriffen, die LODEINFO Version 0.7.1 übermitteln, ist die Einführung einer neuen Zwischenstufe, bei der der Shellcode-Downloader eine Datei abruft, die sich als Privacy-Enhanced Mail (PEM) tarnt, von einem C2-Server, der seinerseits das Backdoor direkt im Speicher lädt.
Der Downloader ähnelt einem bekannten fileless Downloader namens DOWNIISSA, basierend auf dem Mechanismus der Selbst-Patching zur Verdeckung des bösartigen Codes, der Verschlüsselungsmethode für Informationen zum Command-and-Control (C2)-Server und der Struktur der aus der gefälschten PEM-Datei entschlüsselten Daten. „Das LODEINFO Backdoor-Shellcode ist eine fileless Malware, die es Angreifern ermöglicht, infizierte Hosts fernzugesteuert zu erreichen und zu betreiben“, sagt das Unternehmen und fügt hinzu, dass in den Jahren 2023 und 2024 gefundene Proben zusätzliche Befehle enthalten. Die neueste Version von LODEINFO ist 0.7.3. „Als Gegenmaßnahme ist es unerlässlich, ein Produkt einzuführen, das Malware im Speicher scannen und erkennen kann, da sowohl der Downloader-Shellcode als auch der Backdoor-Shellcode von LODEINFO fileless Malware sind“, fügte sie hinzu.