Cybersecurity-onderzoekers hebben een bijgewerkte versie van een achterdeur ontdekt, genaamd LODEINFO dat wordt verspreid via spearphishing-aanvallen.
De bevindingen zijn afkomstig van het Japanse bedrijf ITOCHU Cyber & Intelligence, dat zei dat de malware “is bijgewerkt met nieuwe functies, evenals wijzigingen in de anti-analyse (analysevermijding) technieken.”
LODEINFO (versies 0.6.6 en 0.6.7) werd voor het eerst gedocumenteerd door Kaspersky in november 2022, waarin de mogelijkheden werden beschreven om willekeurige shellcode uit te voeren, schermafbeeldingen te maken en bestanden terug te exfiltreren naar een door een acteur bestuurde server.
Een maand later maakte ESET aanvallen bekend gericht op Japanse politieke instellingen die leidden tot de inzet van LODEINFO.
De achterdeur is het werk van een Chinese natiestaatacteur die bekend staat als Stone Panda (ook bekend als APT10, Bronze Riverside, Cicada, Earth Tengshe, MirrorFace en Potassium), die sinds 2021 een geschiedenis heeft van het orkestreren van aanvallen op Japan.
Aanvalsketens beginnen met phishing-e-mails met kwaadaardige Microsoft Word-documenten die, wanneer ze worden geopend, VBA-macro’s uitvoeren om de shellcode van de downloader te starten die uiteindelijk het LODEINFO-implantaat kan uitvoeren.
Er zijn in 2023 ook LODEINFO-infectiepaden waargenomen waarbij gebruik werd gemaakt van methoden voor het injecteren van sjablonen op afstand om kwaadaardige macro’s op te halen en uit te voeren die op de infrastructuur van de tegenstander worden gehost, telkens wanneer het slachtoffer een Word-document opent dat de sjabloon bevat.
Bovendien zouden er ergens rond juni 2023 controles zijn toegevoegd om de taalinstellingen van Microsoft Office te verifiëren om te bepalen of het Japans is, om het een maand later te verwijderen bij aanvallen waarbij gebruik werd gemaakt van LODEINFO versie 0.7.1.
“Bovendien is de bestandsnaam van de maldoc zelf veranderd van Japans naar Engels”, merkte ITOCHU op. “Hieruit zijn we van mening dat v0.7.1 waarschijnlijk werd gebruikt om omgevingen in andere talen dan het Japans aan te vallen.”
Een andere opmerkelijke verandering in de aanvallen die LODEINFO versie 0.7.1 opleveren, is de introductie van een nieuwe tussenfase waarbij de shellcode-downloader een bestand ophaalt dat zich voordoet als een Privacy-Enhanced Mail (PEM) van een C2-server, die op zijn beurt de achterdeur rechtstreeks in het geheugen.
De downloader deelt overeenkomsten met een bekende bestandsloze downloader genaamd DOWNIISSA, gebaseerd op het zelfpatchende mechanisme om kwaadaardige code te verbergen, de coderingsmethode voor command-and-control (C2) serverinformatie en de structuur van de gegevens die uit het nep-PEM-bestand zijn gedecodeerd.
“LODEINFO backdoor shellcode is een bestandsloze malware waarmee aanvallers op afstand toegang kunnen krijgen tot geïnfecteerde hosts en deze kunnen bedienen”, aldus het bedrijf, met voorbeelden gevonden in 2023 en 2024 met extra opdrachten. De nieuwste versie van LODEINFO is 0.7.3.
“Als tegenmaatregel, aangezien zowel de downloader-shellcode als de backdoor-shellcode van LODEINFO bestandsloze malware zijn, is het essentieel om een product te introduceren dat malware in het geheugen kan scannen en detecteren om deze te detecteren”, voegde het eraan toe.
