Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

マルウェア「LODEINFO」を検知 - JPCERT/CCが解析情報を公開

JPCERTコーディネーションセンターは、国内組織に対して、マルウェア「LODEINFO」の感染を狙った標的型攻撃メールを確認したとして、解析結果を公表した。

20200221_jp_001.jpg
マルウェアを起動する流れ(図:JPCERT/CC)

2019年12月に同センターがはじめて観測したもので、メールへ添付したWordファイルを用いて感染させる手口だった。

マクロを有効化すると、端末上に「LODEINFO」がDLLファイルとして作成され、Windowsの標準機能によりロード、正規プロセスにインジェクションして動作させていた。

感染後はHTTPでコマンド&コントロールサーバと通信。ホスト名や言語環境、MACアドレス、ファイルリストなどの情報を送信するが、データはAESで暗号化し、さらにBASE64でエンコードされていた。また外部からの命令によって、ファイルのアップロードやダウンロード、実行、プロセスの停止などを実行する機能を備えているという。

(Security NEXT - 2020/02/21 ) このエントリーをはてなブックマークに追加

PR

関連記事

2021年2Qの標的型攻撃に関する情報共有は40件 - J-CSIP
小中学校配布端末でのトラブル、約2割が経験 - 加害者になってしまうケースも
2021年2Qのセキュ相談12%増 - 偽宅配業者SMS関連が大幅増
VPN機器や端末などテレワーク環境のセキュリティを評価するサービス
米政府、「Pulse Connect Secure」狙うマルウェアの解析情報
米同盟やEU、中国支援のサイバー攻撃を批判 - 関係者の訴追も
顧客アカウント情報が外部流出、SQLi攻撃で - 日本ケミカルデータベース
2021年2Qのインシデントは減少 - スキャン行為は増加
SSOサーバ「ForgeRock AM」にRCE脆弱性、すでに被害も - 「OpenAM」も注意を
不正アクセス受けたNTTぷららの個人情報、流出の痕跡は見つからず