Китайская Stone Panda разорвала цифровую оборону Японии в клочья

Японские исследователи безопасности из компании ITOCHU выявили обновлённую версию бэкдора LODEINFO, распространяемого через атаки с использованием метода целевого фишинга (spear-phishing).

Вредонос LODEINFO (версии 0.6.6 и 0.6.7), впервые зафиксированный «Лабораторией Касперского» в ноябре 2022 года, обладает возможностями выполнения произвольного шелл-кода, создания скриншотов и эксфильтрации файлов на серверы, контролируемые злоумышленниками. Месяц спустя ESET раскрыла атаки на японские политические учреждения, в результате которых тоже был использован LODEINFO.

Ответственность за создание бэкдора лежит на китайской хакерской группировке Stone Panda (также известной как APT10, Bronze Riverside, Cicada, Earth Tengshe, MirrorFace и Potassium), активно атакующей Японию с 2021 года.

Обычно атаки начинаются с фишинговых писем, содержащих вредоносные документы Microsoft Word. Открытие таких документов приводит к запуску макросов VBA, которые инициируют загрузку шелл-кода, в конечном итоге выполняющего имплантацию LODEINFO.

Особенностью последующих версий LODEINFO, фиксируемых на протяжении 2023 года, является использование методов внедрения удалённых шаблонов для извлечения и выполнения злонамеренных макросов. Также в бэкдор была добавлена функция проверки языковых настроек Microsoft Office на предмет использования японского языка, однако она была удалена в последующих атаках с использованием версии LODEINFO 0.7.1.

В атаках, доставляющих версию LODEINFO 0.7.1, отмечено введение нового промежуточного этапа, включающего загрузку файла, маскирующегося под Privacy-Enhanced Mail (PEM), с последующей загрузкой бэкдора непосредственно в память.

Загрузчик имеет сходства с известным бесфайловым загрузчиком DOWNIISSA, основанным на механизме «Self-Patching» для сокрытия злонамеренного кода.

Бэкдор LODEINFO — это бесфайловое вредоносное ПО, позволяющее киберпреступникам удалённо получать доступ и управлять заражёнными хостами. В образцах бэкдора конца 2023 и начала 2024 года исследователи выявили дополнительные команды, делающие вредонос ещё опаснее. Последняя версия LODEINFO на данный момент — 0.7.3.

ITOCHU подчёркивает важность внедрения в цифровую оборону компаний защитных решений, способных сканировать и обнаруживать вредоносное ПО прямо в памяти целевого устройства для эффективного противодействия таким угрозам.