Обновлённый бэкдор LODEINFO позволяет хакерам удалённо получать доступ и управлять заражёнными хостами.
Японские исследователи безопасности из компании ITOCHU выявили обновлённую версию бэкдора LODEINFO , распространяемого через атаки с использованием метода целевого фишинга (spear-phishing).
Вредонос LODEINFO (версии 0.6.6 и 0.6.7), Для просмотра ссылки Войдиили Зарегистрируйся «Лабораторией Касперского» в ноябре 2022 года, обладает возможностями выполнения произвольного шелл-кода, создания скриншотов и эксфильтрации файлов на серверы, контролируемые злоумышленниками. Месяц спустя ESET Для просмотра ссылки Войди или Зарегистрируйся на японские политические учреждения, в результате которых тоже был использован LODEINFO.
Ответственность за создание бэкдора лежит на китайской хакерской группировке Stone Panda (также известной как APT10, Bronze Riverside, Cicada, Earth Tengshe, MirrorFace и Potassium), активно атакующей Японию с 2021 года.
Обычно атаки начинаются с фишинговых писем, содержащих вредоносные документы Microsoft Word. Открытие таких документов приводит к запуску макросов VBA, которые инициируют загрузку шелл-кода, в конечном итоге выполняющего имплантацию LODEINFO.
Особенностью последующих версий LODEINFO, фиксируемых на протяжении 2023 года, является использование методов внедрения удалённых шаблонов для извлечения и выполнения злонамеренных макросов. Также в бэкдор была добавлена функция проверки языковых настроек Microsoft Office на предмет использования японского языка, однако она была удалена в последующих атаках с использованием версии LODEINFO 0.7.1.
В атаках, доставляющих версию LODEINFO 0.7.1, отмечено введение нового промежуточного этапа, включающего загрузку файла, маскирующегося под Privacy-Enhanced Mail ( PEM ), с последующей загрузкой бэкдора непосредственно в память.
Загрузчик имеет сходства с известным бесфайловым загрузчиком DOWNIISSA, основанным на механизме «Self-Patching» для сокрытия злонамеренного кода.
Бэкдор LODEINFO — это бесфайловое вредоносное ПО, позволяющее киберпреступникам удалённо получать доступ и управлять заражёнными хостами. В образцах бэкдора конца 2023 и начала 2024 года исследователи выявили дополнительные команды, делающие вредонос ещё опаснее. Последняя версия LODEINFO на данный момент — 0.7.3.
ITOCHU подчёркивает важность внедрения в цифровую оборону компаний защитных решений, способных сканировать и обнаруживать вредоносное ПО прямо в памяти целевого устройства для эффективного противодействия таким угрозам.
Японские исследователи безопасности из компании ITOCHU выявили обновлённую версию бэкдора LODEINFO , распространяемого через атаки с использованием метода целевого фишинга (spear-phishing).
Вредонос LODEINFO (версии 0.6.6 и 0.6.7), Для просмотра ссылки Войди
Ответственность за создание бэкдора лежит на китайской хакерской группировке Stone Panda (также известной как APT10, Bronze Riverside, Cicada, Earth Tengshe, MirrorFace и Potassium), активно атакующей Японию с 2021 года.
Обычно атаки начинаются с фишинговых писем, содержащих вредоносные документы Microsoft Word. Открытие таких документов приводит к запуску макросов VBA, которые инициируют загрузку шелл-кода, в конечном итоге выполняющего имплантацию LODEINFO.
Особенностью последующих версий LODEINFO, фиксируемых на протяжении 2023 года, является использование методов внедрения удалённых шаблонов для извлечения и выполнения злонамеренных макросов. Также в бэкдор была добавлена функция проверки языковых настроек Microsoft Office на предмет использования японского языка, однако она была удалена в последующих атаках с использованием версии LODEINFO 0.7.1.
В атаках, доставляющих версию LODEINFO 0.7.1, отмечено введение нового промежуточного этапа, включающего загрузку файла, маскирующегося под Privacy-Enhanced Mail ( PEM ), с последующей загрузкой бэкдора непосредственно в память.
Загрузчик имеет сходства с известным бесфайловым загрузчиком DOWNIISSA, основанным на механизме «Self-Patching» для сокрытия злонамеренного кода.
Бэкдор LODEINFO — это бесфайловое вредоносное ПО, позволяющее киберпреступникам удалённо получать доступ и управлять заражёнными хостами. В образцах бэкдора конца 2023 и начала 2024 года исследователи выявили дополнительные команды, делающие вредонос ещё опаснее. Последняя версия LODEINFO на данный момент — 0.7.3.
ITOCHU подчёркивает важность внедрения в цифровую оборону компаний защитных решений, способных сканировать и обнаруживать вредоносное ПО прямо в памяти целевого устройства для эффективного противодействия таким угрозам.
- Источник новости
- www.securitylab.ru