Лаборатория Касперского: вредоносное ПО LODEINFO использует антивирус для обхода антивируса

Китайская группировка Cicada, отслеживаемая как APT10, использует ПО безопасности для установки новой версии вредоносного ПО LODEINFO в сетях японских организаций. Об этом сообщили исследователи Лаборатории Касперского, передает Securitylab.

Цели группы – СМИ, дипломатические представительства, правительственные организации и госучреждения, а также аналитические центры Японии, все они представляют большой интерес для кибершпионажа.

Эксперты отслеживают кампанию Cicada с марта 2022 года, в рамках которой используется фишинг по электронной почте, самораспаковывающийся RAR-файл и эксплуатация уязвимости боковой загрузки DLL (DLL Side-Loading) в ПО безопасности.

RAR-архив содержит легитимный исполняемый файл (NRTOLD.exe) антивирусной программы «K7Security Suite» и вредоносную DLL-библиотеку с именем «K7SysMn1.dll». Когда NRTOLD.exe запускается, он пытается загрузить файл K7SysMn1.dll, который обычно входит в комплект ПО.

Если вредоносная DLL хранится в той же папке, что и легитимные исполняемые файлы, при запуске EXE-файл загружает вредоносную DLL-библиотеку, содержащую вредоносное ПО LODEINFO.

Поскольку вредоносное ПО загружается с использованием легитимного антивирусного ПО, система защиты устройства не определяет LODEINFO как вредоносное ПО. Пока архив извлекается в фоновом режиме и инициирует процесс заражения, на экране жертвы отображается документ-приманка.

По словам Лаборатории Касперского, авторы вредоносных программ выпустили 6 новых версий LODEINFO в 2022 году, последняя из которых (v0.6.7) выпущена в сентябре 2022 года. Актуальная версия содержит следующие команды:

• Показать список команд бэкдора;
• Скачать файл с C&C-сервера;
• Загрузить файл на C&C-сервер;
• Внедрить шелл-код в память;
• Завершить процесс, используя идентификатор процесса;
• Изменить каталог;
• Отправить вредоносное ПО и системную информацию;
• Сделать снимок экрана;
• Выполнить шифрование файлов с помощью сгенерированного AES-ключа;

Лаборатория Касперского сообщает, что версии LODEINFO v0.6.6 и v0.6.7, которые не были проанализированы в этом отчете, уже распространяются через новые TTPs, поэтому угроза постоянно меняет форму, что затрудняет отслеживание аналитиками и ИБ-специалистами.

Ранее стало известно, что китайские хакеры из группы Witchetty, связанной с APT10, проводят кампании киберпшпионажа против правительств на Ближнем Востоке и фондовой биржи в Африке. В этой кампании киберпреступники спрятали вредоносное ПО в логотип Windows.