Лаборатория Касперского: вредоносное ПО LODEINFO использует антивирус для обхода антивируса

Лаборатория Касперского Cicada APT10 LODEINFO DLL DLL Side-Loading C&C-сервер TTPs AES
Лаборатория Касперского: вредоносное ПО LODEINFO использует антивирус для обхода антивируса
Лаборатория Касперского Cicada APT10 LODEINFO DLL DLL Side-Loading C&C-сервер TTPs AES

Новая кампания китайских хакеров направлена на шпионаж госучреждений Японии.

Китайская группировка Cicada, отслеживаемая как APT10, использует ПО безопасности для установки новой версии вредоносного ПО LODEINFO в сетях японских организаций. Об этом сообщили исследователи Лаборатории Касперского.

Цели группы – СМИ, дипломатические представительства, правительственные организации и госучреждения, а также аналитические центры Японии, все они представляют большой интерес для кибершпионажа.

Эксперты отслеживают кампанию Cicada с марта 2022 года, в рамках которой используется фишинг по электронной почте, самораспаковывающийся RAR-файл и эксплуатация уязвимости боковой загрузки DLL (DLL Side-Loading) в ПО безопасности.

RAR-архив содержит легитимный исполняемый файл (NRTOLD.exe) антивирусной программы «K7Security Suite» и вредоносную DLL-библиотеку с именем «K7SysMn1.dll». Когда NRTOLD.exe запускается, он пытается загрузить файл K7SysMn1.dll, который обычно входит в комплект ПО.

Если вредоносная DLL хранится в той же папке, что и легитимные исполняемые файлы, при запуске EXE-файл загружает вредоносную DLL-библиотеку, содержащую вредоносное ПО LODEINFO.

Поскольку вредоносное ПО загружается с использованием легитимного антивирусного ПО, система защиты устройства не определяет LODEINFO как вредоносное ПО. Пока архив извлекается в фоновом режиме и инициирует процесс заражения, на экране жертвы отображается документ-приманка.

По словам Лаборатории Касперского, авторы вредоносных программ выпустили 6 новых версий LODEINFO в 2022 году, последняя из которых (v0.6.7) выпущена в сентябре 2022 года. Актуальная версия содержит следующие команды:

  • Показать список команд бэкдора;
  • Скачать файл с C&C-сервера;
  • Загрузить файл на C&C-сервер;
  • Внедрить шелл-код в память;
  • Завершить процесс, используя идентификатор процесса;
  • Изменить каталог;
  • Отправить вредоносное ПО и системную информацию;
  • Сделать снимок экрана;
  • Выполнить шифрование файлов с помощью сгенерированного AES-ключа;

Лаборатория Касперского сообщает, что версии LODEINFO v0.6.6 и v0.6.7, которые не были проанализированы в этом отчете, уже распространяются через новые TTPs, поэтому угроза постоянно меняет форму, что затрудняет отслеживание аналитиками и ИБ-специалистами.

Ранее стало известно, что китайские хакеры из группы Witchetty, связанной с APT10, проводят кампании киберпшпионажа против правительств на Ближнем Востоке и фондовой биржи в Африке. В этой кампании киберпреступники спрятали вредоносное ПО в логотип Windows.