JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は2月9日、公式ブログの記事「マルウェアLODEINFOのさらなる進化」において、昨年から国内で被害が続いているマルウェア「LODEINFO」がさらに機能拡張されているとして、そのアップデート内容と最近の攻撃動向を紹介した。

LOADINFOはメール添付された不正なWord文書を開くことで感染し、外部サーバからの指示を受けてさまざまな攻撃を行うトロイの木馬型マルウェア。2019年12月頃から活発化した日本国内の組織を狙った標的型攻撃によって初めて確認された。

LOADINFOを利用した攻撃の起点は、メールに添付されたWordまたはExcel文書である。添付ファイルを開いてマクロを有効化すると、文書に隠されていたLOADINFOがホスト上に展開・実行される。実行されるとsvchost.exeのプロセスを起動してペイロードをインジェクションし、サービスとして常駐する。その後は外部サーバー(C&Cサーバ)と通信してさまざまなコマンドが実行される。

  • LOADINFOの感染に利用されるWord文書の例 ー 画像:JPCERT/CC Eyesより

    LOADINFOの感染に利用されるWord文書の例  資料:JPCERT/CC Eyes

LOADINFOは最初に観測されて以来頻繁にアップデートを繰り返していることが知られている。JPCERT/CCでは過去2度にわたってLOADINFOの解説記事を公開しており、3回目となる今回の記事では、第2回で取り上げられたv0.3.6から最新バージョンのv0.4.8にかけてのアップデート内容が解説されている。

  • LODEINFOのバージョンの推移 ー 画像:JPCERT/CC Eyesより

    LODEINFOのバージョンの推移  資料:JPCERT/CC Eyesより

v0.3.6までのバージョンでは、LOADINFOには次の表のコマンドが実装されていることが明らかになっていた。

コマンド 内容
MZ PEファイルの実行
0xE9 シェルコードの実行
cd カレントディレクトリの変更
ls ファイル一覧の送信
send ファイルダウンロード
recv ファイルアップロード
cat ファイルアップロード
memory シェルコードの実行(svchost.exeにインジェクション)
kill 任意プロセスの停止
ver マルウエアバージョン情報の送信
print スクリーンキャプチャの取得
rm ファイルの削除
ransom 未実装
keylog 未実装

それに対してv0.4.8までのアップデートで、新たに次の表に挙げるコマンドが追加されたという。

コマンド 内容
ransom ファイル暗号化
keylog キーロガーの制御
mv ファイルの移動
cp ファイルのコピー
mkdir ディレクトリの作成
ps プロセス一覧の表示
pkill プロセス停止

このうちransomとkeylogはv0.3.6では未実装だったもので、ransomコマンドには任意のファイルおよびフォルダを暗号化する機能が、keylogコマンドにはキー入力の内容を記録するキーログ機能が実装されていることが確認されたとのことだ。

ransomコマンドについては、現時点ではファイル拡張子の変更や脅迫文の作成、背景画像の変更といったランサムウェアでよく見られる処理は行われないが、痕跡の削除やデータの外部持ち出しなどに利用される可能性があると指摘されている。