Japanse organisaties zijn het doelwit van een Chinese nationale bedreiging die malwarefamilies zoals LODEINFO en NOOPDOOR gebruikt om gevoelige informatie van gecompromitteerde hosts te verzamelen. In sommige gevallen blijven ze daarbij twee tot drie jaar lang onopgemerkt onder de radar.
Het Israëlische cybersecuritybedrijf Cybereason volgt de campagne onder de naam Koekoeksspeeren schreef het toe aan een bekende intrusieset genaamd APT10, die ook bekend is als Bronze Riverside, ChessMaster, Cicada, Cloudhopper, MenuPass, MirrorFace, Purple Typhoon (voorheen Potassium) en Stone Panda.
“De actoren achter NOOPDOOR maakten niet alleen gebruik van LODEINFO tijdens de campagne, maar gebruikten de nieuwe backdoor ook om gegevens uit gecompromitteerde bedrijfsnetwerken te exfiltreren”, aldus het rapport.
De bevindingen kwamen enkele weken nadat JPCERT/CC waarschuwde voor cyberaanvallen door de dreigingsactor die gericht waren op Japanse entiteiten met behulp van de twee malwarevarianten.
Eerder deze januari maakte ITOCHU Cyber & Intelligence bekend dat het een bijgewerkte versie van de LODEINFO-backdoor had ontdekt, waarin anti-analysetechnieken zijn verwerkt. Hierbij werd gewezen op het gebruik van spear-phishing-e-mails om de malware te verspreiden.
Trend Micro, dat oorspronkelijk de term MenuPass bedacht om de dreigingsactor te beschrijven, heeft APT10 gekarakteriseerd als een paraplugroep die bestaat uit twee clusters die het Earth Tengshe en Earth Kasha noemt. De hackersploeg is naar verluidt al sinds ten minste 2006 operationeel.
Terwijl Earth Tengshe gelinkt is aan campagnes die SigLoader en SodaMaster distribueren, wordt Earth Kasha toegeschreven aan het exclusieve gebruik van LODEINFO en NOOPDOOR. Beide subgroepen zijn waargenomen bij het targeten van publieke applicaties met als doel het exfiltreren van data en informatie in het netwerk.
Er wordt ook gezegd dat Earth Tengshe verwant is aan een andere cluster met de codenaam Bronze Starlight (ook bekend als Emperor Dragonfly of Storm-0401), die bekendstaat om zijn kortlevende ransomware-families zoals LockFile, Atom Silo, Rook, Night Sky, Pandora en Cheerscrypt.
Aan de andere kant is gebleken dat Earth Kasha sinds april 2023 zijn oorspronkelijke toegangsmethoden verandert door openbare applicaties te misbruiken, waarbij gebruik wordt gemaakt van ongepatchte fouten in Array AG (CVE-2023-28461), Fortinet (CVE-2023-27997) en Proself (CVE-2023-45727)-instanties om LODEINFO en NOOPDOOR (ook bekend als HiddenFace) te verspreiden.
LODEINFO wordt geleverd met verschillende opdrachten om willekeurige shellcode uit te voeren, toetsaanslagen te loggen, screenshots te maken, processen te beëindigen en bestanden terug te sturen naar een door actoren aangestuurde server. NOOPDOOR, dat code-overeenkomsten deelt met een andere APT10-backdoor, bekend als ANEL Loader, heeft functionaliteit om bestanden te uploaden en downloaden, shellcode uit te voeren en meer programma’s te draaien.
“LODEINFO lijkt te worden gebruikt als primaire backdoor en NOOPDOOR fungeert als secundaire backdoor, die persistentie binnen het gecompromitteerde bedrijfsnetwerk voor meer dan twee jaar behoudt”, aldus Cybereason. “Dreigende actoren behouden persistentie binnen de omgeving door misbruik te maken van geplande taken.”
