Ερευνητές κυβερνοασφάλειας από την ιαπωνική εταιρεία ITOCHU Cyber & Intelligence ανακάλυψαν μια νέα έκδοση του backdoor LODEINFO, που διανέμεται μέσω επιθέσεων spear-phishing.
Σύμφωνα με τους ερευνητές, το backdoor “έχει ενημερωθεί με νέες δυνατότητες, καθώς και αλλαγές στις τεχνικές αποφυγής ανάλυσης“.
Το LODEINFO (εκδόσεις 0.6.6 και 0.6.7) αναλύθηκε για πρώτη φορά από την Kaspersky τον Νοέμβριο του 2022. Τότε, η εταιρεία είχε πει ότι το κακόβουλο λογισμικό μπορούσε να εκτελέσει shellcode, να λαμβάνει screenshots και να μεταφέρει αρχεία σε έναν διακομιστή που ελέγχεται από τους κυβερνοεγκληματίες.
Το backdoor φαίνεται να είναι δημιουργία Κινέζων κρατικών hackers που είναι γνωστοί ως Stone Panda, APT10, Bronze Riverside, Cicada, Earth Tengshe, MirrorFace και Potassium. Οι συγκεκριμένοι hackers στοχεύουν την Ιαπωνία τουλάχιστον από το 2021.
Δείτε επίσης: CherryLoader Malware: Μιμείται το CherryTree για την ανάπτυξη PrivEsc Exploits
Όπως προείπαμε, οι επιθέσεις ξεκινούν με phishing emails που φέρουν κακόβουλα έγγραφα του Microsoft Word. Αν τα ανοίξει το θύμα, εκτελούνται μακροεντολές VBA για την εκκίνηση του downloader shellcode, που είναι ικανό να εκτελέσει το τελικό LODEINFO implant.
Στις πιο πρόσφατες παρατηρήσεις, οι ερευνητές είδαν και τη χρήση μεθόδων remote template injection για την ανάκτηση και εκτέλεση κακόβουλων μακροεντολών που φιλοξενούνται στην υποδομή του επιτιθέμενου, κάθε φορά που το θύμα ανοίγει ένα έγγραφο Word.
Επιπλέον, το καλοκαίρι του 2023 λέγεται ότι προστέθηκαν έλεγχοι για την επαλήθευση των ρυθμίσεων γλώσσας του Microsoft Office για να προσδιοριστεί εάν είναι Ιαπωνικά. Αφαιρέθηκαν ένα μήνα αργότερα σε επιθέσεις που χρησιμοποιούσαν το LODEINFO έκδοση 0.7.1.
“Επιπλέον, το όνομα αρχείου του ίδιου του maldoc έχει αλλάξει από Ιαπωνικά σε Αγγλικά”, σημείωσαν οι ερευνητές. “Από αυτό, πιστεύουμε ότι η έκδοση 0.7.1 πιθανότατα χρησιμοποιήθηκε για επίθεση σε περιβάλλοντα σε άλλες γλώσσες εκτός των Ιαπωνικών“.
Μια άλλη αξιοσημείωτη αλλαγή στις επιθέσεις που παραδίδουν το LODEINFO έκδοση 0.7.1 είναι η εισαγωγή ενός νέου ενδιάμεσου σταδίου που περιλαμβάνει το shellcode downloader και την ανάκτηση ενός αρχείου, που μεταμφιέζεται ως Privacy-Enhanced Mail (PEM) από έναν διακομιστή C2, ο οποίος, με τη σειρά του, φορτώνει το backdoor απευθείας στη μνήμη.
Το πρόγραμμα λήψης έχει κάποιες ομοιότητες με ένα γνωστό fileless downloader που ονομάζεται DOWNIISSA.
Δείτε επίσης: NS-STEALER: Το info-stealer malware χρησιμοποιεί Discord bot για να κλέψει δεδομένα
“Το LODEINFO backdoor shellcode είναι ένα fileless malware που επιτρέπει στους εισβολείς να έχουν απομακρυσμένη πρόσβαση και να χειρίζονται μολυσμένους κεντρικούς υπολογιστές“, δήλωσε η εταιρεία, αναφερόμενη στα δείγματα που βρέθηκαν το 2023 και το 2024 που ενσωματώνουν επιπλέον εντολές. Η τελευταία έκδοση του LODEINFO είναι η 0.7.3.
Προστασία από το backdoor malware
“Ως αντίμετρο, δεδομένου ότι τόσο το downloader shellcode όσο και το backdoor shellcode του LODEINFO είναι fileless malware, είναι απαραίτητο να εισαχθεί ένα προϊόν που μπορεί να σαρώσει και να ανιχνεύσει κακόβουλο λογισμικό στη μνήμη για να το εντοπίσει“, πρόσθεσε.
Επιπλέον, η ενημέρωση του λογισμικού είναι μια από τις πιο σημαντικές τεχνικές για την πρόληψη του backdoor malware. Τα ενημερωμένα συστήματα και εφαρμογές είναι λιγότερο ευάλωτα σε επιθέσεις, καθώς οι προγραμματιστές συχνά διορθώνουν τυχόν ευπάθειες που μπορεί να εκμεταλλευτεί το malware.
Η χρήση ισχυρών κωδικών πρόσβασης και η αλλαγή τους τακτικά μπορεί να βοηθήσει στην πρόληψη της παραβίασης των συστημάτων από το backdoor malware. Οι κωδικοί πρόσβασης πρέπει να είναι μοναδικοί, περίπλοκοι και να μην χρησιμοποιούνται σε πολλαπλές υπηρεσίες.
Δείτε επίσης: Στόχος Malware η Ινδική Πολεμική Αεροπορία
Η εγκατάσταση ενός αξιόπιστου λογισμικού antivirus μπορεί να παρέχει επιπλέον άμυνα ενάντια στο backdoor malware. Αυτά τα προγράμματα μπορούν να ανιχνεύσουν και να αφαιρέσουν το malware πριν αυτό προκαλέσει ζημιά.
Τέλος, η εκπαίδευση των χρηστών για την ασφαλή περιήγηση στο διαδίκτυο και την αποφυγή ύποπτων συνδέσμων ή συνημμένων μπορεί να μειώσει σημαντικά τον κίνδυνο μόλυνσης από backdoor malware.
Πηγή: thehackernews.com