Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

マルウェア「LODEINFO」を検知 - JPCERT/CCが解析情報を公開

JPCERTコーディネーションセンターは、国内組織に対して、マルウェア「LODEINFO」の感染を狙った標的型攻撃メールを確認したとして、解析結果を公表した。

20200221_jp_001.jpg
マルウェアを起動する流れ(図:JPCERT/CC)

2019年12月に同センターがはじめて観測したもので、メールへ添付したWordファイルを用いて感染させる手口だった。

マクロを有効化すると、端末上に「LODEINFO」がDLLファイルとして作成され、Windowsの標準機能によりロード、正規プロセスにインジェクションして動作させていた。

感染後はHTTPでコマンド&コントロールサーバと通信。ホスト名や言語環境、MACアドレス、ファイルリストなどの情報を送信するが、データはAESで暗号化し、さらにBASE64でエンコードされていた。また外部からの命令によって、ファイルのアップロードやダウンロード、実行、プロセスの停止などを実行する機能を備えているという。

(Security NEXT - 2020/02/21 ) このエントリーをはてなブックマークに追加

PR

関連記事

「BEC」に見えた内通者の影 - なりすまされる「リスク」も
国際金融取引システムの不正送金に北朝鮮「APT38」が関与 - 外交交渉の裏で止まぬ攻撃
ASUSの更新機能が侵害、マルウェア拡散 - MACアドレスで標的絞りさらなる攻撃
不正アクセスでサイトが改ざん被害 - 鹿児島大
エンドポイント対策製品「Apex One」にSaaS版 - トレンド
ネット分離環境でファイルを受け渡しする製品 - ソリトン
国家関与のサイバー攻撃、新型コロナ問題に便乗 - 中国のグループも
セキュ製品が期待通り機能せず、侵害発生後に判明 - 半数が経験
最新のセキュリティ対策製品を導入しても約5%がウイルス感染 - カスペルスキーが情報共有の重要性を指摘
アンケート回答で「iPhone Xプレゼント」とだます「偽日本郵便」に注意を