中国 APT10 の標的は日本の政府機関など:K7Security を悪用する LODEINFO マルウェアとは?

Hacking group abuses antivirus software to launch LODEINFO malware

2022/10/31 BleepingComputer — APT10 として追跡されている中国のハッキング・グループ Cicada は、セキュリティ・ソフトウェアを悪用することで、日本の組織に対してマルウェア LODEINFO の新バージョンをインストールしていたことが確認されている。 標的となったのは、日本国内の報道機関/外交機関/政府機関/公共機関/シンクタンクなどであり、いずれもサイバー犯罪の標的として高い関心を集める組織である。


日本での APT10の 活動を、2019年から追跡している Kaspersky のアナリストがによると、この脅威アクターは、感染のための戦術とカスタム・バックドア LODEINFO を進化させ、検知を困難にするための試みを継続しているとのことだ。

Kaspersky は、APT10 における新たな感染連鎖の手法を示したレポートと、LODEINFO の進化に焦点を当てたレポートの、2つを発表している。

セキュリティ・ソフトの悪用

2022年3月ころから Kaspersky は、日本における APT10 の攻撃が、スピアフィッシング・メール/自己解凍型 (SFX) RARファイル/セキュリティ・ソフトの DLL サイドローディング欠陥の悪用といった、新しい感染ベクターを悪用していることに気づいた。

それらの RAR アーカイブには、正規の K7Security Suite ソフトウェアの実行ファイルである NRTOLD.exe と、悪意の DLL である K7SysMn1.dll が含まれている。NRTOLD.exe が実行されると、通常はソフトウェア・スイートに含まれる正規の K7SysMn1.dll ファイルをロードしようと試みる。 

しかし、この実行ファイルは特定のフォルダにある DLL を探さないため、K7SysMn1.dll と同じ名前を用いる悪意の DLL を、マルウェア開発者が作成することが可能になってしまう。 悪意の DLL が正規の実行ファイルと同じフォルダに格納されている場合に、その実行ファイルを起動すると、LODEINFO マルウェアを含む悪意の DLL がロードされることになる。 

このマルウェアは。正規のセキュリティ・アプリケーションを用いてサイドロードされるため、他のセキュリティ・ソフトウェアがマルウェアとして検出しない可能性が生じる。

Kaspersky はレポートの中で、「K7SysMn1.dll には、過去のアクティビティでは観測されなかった難読化ルーチンを持つ BLOB が含まれている。埋め込まれた BLOBは 4Byte のチャンクに分割され、DLL バイナリのランダムに名付けられた 50 のエクスポート関数のいずれかに、それぞれのパートが格納される。続いて、これらのエクスポート関数は、割り当てられたバッファ内の BLOB を再構築し、1Byte の XOR キーを用いて LODEINFO シェルコードをデコードする」と説明している。

Payload assembly from BLOBs
Payload assembly from BLOBs (Kaspersky)

アーカイブがバックグラウンドで抽出され、感染プロセスが開始されている間に、フォアグラウンドで被害者にルアー文書を見せることで、侵害に気づく可能性を最小限に抑えている。

2022年6月に Kaspersky は、APT10 感染チェーンにおける亜種の存在に気づいた。そこでは、パスワードで保護され、悪意の VBA コードを含む、Microsoft Office ドキュメントを介して配信される、ファイルレス・ダウンローダーのシェルコードが使用されていた。

以下では、DLL サイドローディングではなく、マクロコードを悪用するかたちで、WINWORD.exe プロセスのメモリにシェルコード (DOWNISSA) をダイレクトに注入し、ロードしている。

Injecting shellcode directly into the process
Injecting shellcode directly into the process (Kaspersky)
The DOWNISSA infection chain
The “DOWNISSA” infection chain (Kaspersky)

新しい LODEINFO

このマルウェア作者は、2022年に6つの新バージョン LODEINFO をリリースしているが、最新のものは 2022年9月にリリースされた v0.6.7 である。

2021年の末に、APT10 は LODEINFO v0.5.6 をリリースし、Vigenere 暗号キーとランダムに生成されたジャンク・データを組み合わせるかたちで、複数の C2 通信暗号化レイヤーを追加している。

LODEINFO encrypted C2 comms scheme
LODEINFO encrypted C2 communications scheme (Kaspersky)


さらに、LODEINFO v0.5.6 では、バックドアがサポートする 21種類のコマンドに XOR 難読化を採用し、v0.5.9 では、API 関数名に対する新しいハッシュ計算アルゴリズムが導入された。

また、vo 0.6.2 では、64 Bit プラットフォームをサポートし、マルウェアのターゲット範囲を実質的に拡大している。また、このバージョンでは、不要な感染を避けるために、en_US ロケールを使用するマシンを除外する措置が導入されている。

2022年6月にリリースされた LODEINFO v0.6.3 では、10個の不要なコマンドが削除されたが、バックドアのスリム化と効率の向上のためだと推測される。

現在のバージョンで残っているコマンドは、以下の通りである。

  • 埋め込み型バックドア・コマンドリストの表示
  • C2 からのファイル・ダウンロード
  • C2 へのファイル・アップロード
  • シェルコードのメモリ注入
  • プロセス ID を使用したプロセスの強制終了
  • ディレクトリの変更
  • マルウェアおよびシステム情報の送信
  • スクリーン・ショットの撮影
  • 生成された AES 鍵によるファイルの暗号化
  • WM I を用いたコマンドの実行
  • コンフィグ (不完全な実装)

APT10 による日本を標的としたアクティビティは常に進化しており、標的とするプラットフォームの拡大/回避能力の向上/高ステルス性の感染チェーンなどが特徴になっている。

Kaspersky によると、今回は分析されなかった LODEINFO v0.6.6/v0.6.7 は、すでに新しい TTP で配布されており、また、脅威は常に形を変えるため、アナリストや防御者が追いつくのは非常に困難だということだ。

APT10 に関連して、最近に発覚した他のアクティビティとしては、ステガノグラフィを使用して中東やアフリカの政府を標的とするキャンペーンや、VLC を悪用してカスタム・バックドアを起動させるものなどがある。

Securelist の APT10: Tracking down LODEINFO 2022, part I を参照すると、「LODEINFO は、2020 年 2 月に JPCERT/CC のブログ投稿で最初に名前が付けられた、洗練されたファイルレス・マルウェア」だと記されています。最近の日本をめぐる報道としては、9月7日の「日本政府の Web サイトが攻撃される:犯行を主張する Killnet とは?」とい、10月17日の「大宮化成工業に LockBit 3.0 がヒット:世界中の主要サプライチェーンに影響?」がありました。この記事の元データとなっている、Securelist のレポートは以下となります。

APT10: Tracking down LODEINFO 2022, part I
APT10: Tracking down LODEINFO 2022, part II

%d bloggers like this: