マルウェア「LODEINFO」を検知 - JPCERT/CCが解析情報を公開
JPCERTコーディネーションセンターは、国内組織に対して、マルウェア「LODEINFO」の感染を狙った標的型攻撃メールを確認したとして、解析結果を公表した。
マルウェアを起動する流れ(図:JPCERT/CC)
2019年12月に同センターがはじめて観測したもので、メールへ添付したWordファイルを用いて感染させる手口だった。
マクロを有効化すると、端末上に「LODEINFO」がDLLファイルとして作成され、Windowsの標準機能によりロード、正規プロセスにインジェクションして動作させていた。
感染後はHTTPでコマンド&コントロールサーバと通信。ホスト名や言語環境、MACアドレス、ファイルリストなどの情報を送信するが、データはAESで暗号化し、さらにBASE64でエンコードされていた。また外部からの命令によって、ファイルのアップロードやダウンロード、実行、プロセスの停止などを実行する機能を備えているという。
(Security NEXT - 2020/02/21 )
ツイート
PR
関連記事
感染確認ツール「EmoCheck」に脆弱性 - Emotet収束、利用停止を
旧メールシステムのアカウントに不正アクセス - ゼットン
子会社がランサム被害、受注出荷に影響も生産継続 - 九州電子
ビデオ会議ツール「TrueConf」にゼロデイ攻撃 - アップデート機能に脆弱性
委託先の特許管理システムにマルウェア、情報流出の可能性 - 埼大
CMS脆弱性を突かれ改ざん被害、名古屋短大など複数サイトに影響
文理学部の掲示板サイトが改ざん、外部サイトに誘導 - 日大
過去に実施したイベントサイトのドメインを第三者が取得 - 愛媛県
教員アカウントがスパム送信の踏み台に - 鹿児島県立短大
サ終ゲーム公式サイトのドメインを第三者が取得 - DeNAが注意喚起
