Kinesisktalende trusselskuespiller APT10 har brugt en sofistikeret og til tider filløs bagdør til at målrette mål for medier, diplomatiske, statslige, offentlige sektorer og tænketanke, siden mindst marts, har forskere fundet.
Forskere hos Kaspersky har sporet LodeInfo malware-familien siden 2019, sagde de i en of to blogindlæg offentliggjort mandag, der udstikker en todelt undersøgelse af den nye trussel. Gruppen er opsat på spionage, primært mod japanske mål til dato.
However, as threat actors are constantly updating and modifying LodeInfo — particularly with anti-detection features and varying infection vectors — it’s been difficult to stay on top of its use and deployment, the researchers said.
“LodeInfo and its infection methods have been constantly updated and improved to become a more sophisticated cyber-espionage tool while targeting organizations in Japan,” the researchers wrote in one of their posts. “The LodeInfo implants and loader modules were also continuously updated to evade security products and complicate manual analysis by security researchers.”
JPCERT/C navngav først LodeInfo i et blogindlæg i februar 2020, da det var nyttelasten i en spear-phishing-kampagne rettet mod Japan, ifølge Kaspersky. Året efter, Kaspersky-forskere også delt nye resultater under HITCON 2021-konferencen, der dækkede LodeInfo-aktiviteter fra 2019 til 2020. På det tidspunkt tilskrev de malwaren til APT10 - også kendt som the “Cicada” group — with “high confidence,” the researchers said.
Kaspersky’s latest intelligence on LodeInfo in the first half of their report focuses on their identification of current versions of the malware — in which researchers detected v0.6.6 and v0.6.7 — and their various infection methods tracked between March and September in use against targets in Japan. The second part unveils an investigation of new versions of LodeInfo shellcode — including v0.5.9, v0.6.2, v0.6.3 and v0.6.5 — identified in March, April, and June, respectively, the researchers said.
Forskellige infektionsmetoder
Forskere skitserede fire forskellige infektionsmetoder, som trusselsaktører bruger til at få LodeInfo-bagdøren til offersystemer.
Den første, der blev identificeret i marts og brugt i tidligere angreb observeret af Kaspersky, startede med en spear-phishing-e-mail, der inkluderede en ondsindet vedhæftet fil, der installerede malware-vedvarende moduler, sagde forskerne. Disse moduler bestod af en legitim EXE-fil fra K7Security Suite-softwaren, der blev brugt til DLL sideindlæsning, samt en ondsindet DLL-fil indlæst via DLL-sideloading-teknikken.
Den ondsindede DLL-fil indeholder en loader til LodeInfo shellcode, der indeholder en 1-byte XOR-krypteret LodeInfo shellkode internt identificeret af version 0.5.9, sagde forskerne.
En anden infektionsmetode bruger en selvudpakkende arkivfil (SFX) i RAR-format, der indeholder tre filer med selvudpakkende scriptkommandoer. Når en målrettet bruger udfører denne SFX-fil, dropper arkivet andre filer og åbner en .docx, der kun indeholder nogle få japanske ord som et lokkemiddel, sagde forskerne.
Mens denne lokkefil bliver vist til brugeren, udfører arkivscript en ondsindet DLL via DLL sideloading, der starter en proces, der til sidst implementerer LodeInfo v0.6.3, sagde de.
En tredje infektionsvektor bruger en anden SFX-fil, som først blev set spredt via en spear-phishing-kampagne i juni, som udnytter navnet på en velkendt japansk politiker og bruger selvudpakkende script og filer, der ligner den tidligere vektor. Denne indledende infektionsmetode inkluderer også en ekstra fil, der dekrypterer shellcode til LodeInfo v0.6.3 bagdøren, sagde forskerne.
“The file name and the decoy document suggest the target was the Japanese ruling party or a related organization,” they explained, adding that they observed another SFX file with a similar method and payload on July 4.
The fourth infection vector that researchers outlined was observed in June and appears to be a brand-new method that threat actors added this year, they said. This vector uses a fileless downloader shellcode — dubbed “DOWNIISSA” by the researchers — delivered by a password-protected Microsoft Word file. The file includes malicious macro code completely different from previously investigated samples of LodeInfo, the researchers said.
“Unlike past samples … where the malicious VBA macro was used to drop different components of the DLL sideloading technique, in this case the malicious macro code injects and loads an embedded shellcode in the memory of the WINWORD.exe process directly,” they explained. “This implant was not present in past activities, and the shellcode is also a newly discovered multi-stage downloader shellcode for LodeInfo v0.6.5.”
Avanceret undvigelsestaktik
Kaspersky researchers also outlined the various advanced evasion tactics displayed in new versions of the malware’s shellcode, demonstrating how threat actors are evolving the malware to increase the chances they won’t be caught, the researchers said.
“These modifications may serve as a confirmation that the threat actors track publications by security researchers and learn how to update their TTPs [tactics, techniques, and procedures] and improve their malware,” they wrote.
For eksempel demonstrerer LodeInfo v0.5.6 shellcode adskillige forbedrede unddragelsesteknikker for visse sikkerhedsprodukter, såvel som tre nye bagdørskommandoer implementeret af udvikleren, sagde forskere.
Den indeholder også en hårdkodet nøgle, NV4HDOeOVyL, brugt senere af en forældet Vigenere-chiffer, and it generates random junk data “possibly to evade beaconing detection based on packet size,” they noted.
En anden shell-kode, i LodeInfo v0.5.6, bruger reviderede kryptoalgoritmer og bagdørs kommandoidentifikatorer - tilsløret med en 2-byte XOR-operation, der blev defineret som 4-byte hårdkodede værdier i tidligere LodeInfo-shellkoder, sagde forskerne.
“We also observed the actor implementing new backdoor commands such as ‘comc,’ ‘autorun,’ and ‘config’ in LodeInfo v0.5.6 and later versions,” they explained. “Twenty-one backdoor commands, including three new commands, are embedded in the LodeInfo backdoor to control the victim host.”
Andre LodeInfo-skalkoder, v0.6.2 og senere versioner specifikt, inkluderer en nysgerrig geografisk identifikationsfunktion, der leder efter "en_US"-lokaliteten på ofrets maskine i en rekursiv funktion og stopper udførelsen, hvis den pågældende lokalitet findes, sagde forskerne, hvilket indikerer, at trusselsaktører undgår amerikanske mål.
En anden kernemodifikation af LodeInfo shellcode observeret af Kaspersky var understøttelse af Intel 64-bit arkitektur, som udvider typen af offermiljøer, som trusselsaktører kan målrette mod, sagde de.
Overall, the updated TTPs and improvements in LodeInfo and related malware “indicate that the attacker is particularly focused on making detection, analysis, and investigation harder for security researchers,” the researchers wrote.
Kaspersky delte forskellige indikatorer på kompromis i del to af sit indlæg på LodeInfo. Firmaet opfordrer andre sikkerhedsforskere og det overordnede samfund generelt til at samarbejde om at identificere LodeInfo og relaterede malwareangreb i offermiljøer for at forhindre og afbøde yderligere angreb.
