Tin tặc Trung Quốc sử dụng chuỗi lây nhiễm lén lút mới để triển khai phần mềm độc hại LODEINFO

 

  Tác nhân đe dọa do nhà nước Trung Quốc tài trợ được gọi làStone Pandađã được quan sát thấy sử dụng một chuỗi lây nhiễm lén lút mới trong các cuộc tấn công nhằm vào các thực thể Nhật Bản.

Các mục tiêu bao gồm các tổ chức truyền thông, ngoại giao, chính phủ và khu vực công và các tổ chức tư vấn ở Nhật Bản, theo báo cáo kép được công bố bởi Kaspersky.

Stone Panda, còn được gọi là APT10, Bronze Riverside, Cicada và Kali, là một nhóm gián điệp mạng được biết đến với sự xâm nhập của nó chống lại các tổ chức được xác định là có ý nghĩa chiến lược đối với Trung Quốc. Tác nhân đe dọa được cho là đã hoạt động ít nhất từ năm 2009.

Tập hợp các cuộc tấn công mới nhất, được quan sát từ tháng 3 đến tháng 6 năm 2022, liên quan đến việc sử dụng tệp Microsoft Word không có thật và tệp lưu trữ tự giải nén (SFX) ở định dạng RAR được tuyên truyền qua email lừa đảo, dẫn đến việc thực hiện một cửa hậu có tên LODEINFO.

Trong khi maldoc yêu cầu người dùng cho phép macro kích hoạt killchain, chiến dịch tháng 6 năm 2022 đã bị phát hiện bỏ phương pháp này để chuyển sang tệp SFX, khi được thực thi, sẽ hiển thị tài liệu Word mồi nhử vô hại để che giấu các hoạt động độc hại.

Macro, sau khi được bật, sẽ thả một kho lưu trữ ZIP chứa hai tệp, một trong số đó ("NRTOLF.exe") là tệp thực thi hợp pháp từ phần mềm K7Security Suite sau đó được sử dụng để tải DLL giả mạo ("K7SysMn1.dll") thông qua tải bên DLL.

Bỏ việc lạm dụng ứng dụng bảo mật sang một bên, Kaspersky cho biết họ cũng đã phát hiện ra vào tháng 2022 năm XNUMX một phương pháp lây nhiễm ban đầu khác, trong đó một tệp Microsoft Word được bảo vệ bằng mật khẩu hoạt động như một đường dẫn để cung cấp một trình tải xuống không có tệp có tên DOWNIISSA khi bật macro.

"Macro nhúng tạo ra shellcode DOWNIISSA và đưa nó vào quy trình hiện tại (WINWORD.exe)", công ty an ninh mạng Nga cho biết.

DOWNIISSA được cấu hình để giao tiếp với một máy chủ từ xa được mã hóa cứng, sử dụng nó để truy xuất tải trọng BLOB được mã hóa của LODEINFO, một cửa hậu có khả năng thực thi shellcode tùy ý, chụp ảnh màn hình và lọc các tệp trở lại máy chủ.

Phần mềm độc hại, được nhìn thấy lần đầu tiên vào năm 2019, đã trải qua nhiều cải tiến, với Kaspersky đã xác định sáu phiên bản khác nhau vào tháng 3 , tháng 4 , tháng 6 và tháng 9 năm 2022

Những thay đổi bao gồm các kỹ thuật trốn tránh nâng cao để bay dưới radar, tạm dừng thực thi trên các máy có ngôn ngữ "en_US", sửa đổi danh sách các lệnh được hỗ trợ và mở rộng hỗ trợ cho kiến trúc Intel 64 bit.

"Phần mềm độc hại LODEINFO được cập nhật rất thường xuyên và tiếp tục tích cực nhắm mục tiêu vào các tổ chức Nhật Bản", các nhà nghiên cứu kết luận.

"Các TTP được cập nhật và những cải tiến trong LODEINFO và phần mềm độc hại liên quan [...] chỉ ra rằng kẻ tấn công đặc biệt tập trung vào việc làm cho việc phát hiện, phân tích và điều tra trở nên khó khăn hơn đối với các nhà nghiên cứu bảo mật.

Mới hơn Cũ hơn