Des chercheurs en cybersécurité ont découvert une version mise à jour d’une porte dérobée appelée LODEINFO qui est distribué via des attaques de spear phishing.
Les conclusions proviennent de la société japonaise ITOCHU Cyber & Intelligence, qui dit le malware « a été mis à jour avec de nouvelles fonctionnalités, ainsi que des modifications apportées aux techniques d’anti-analyse (évitement de l’analyse) ».
LODEINFO (versions 0.6.6 et 0.6.7) a été documenté pour la première fois par Kaspersky en novembre 2022, détaillant ses capacités à exécuter du shellcode arbitraire, à prendre des captures d’écran et à exfiltrer des fichiers vers un serveur contrôlé par un acteur.
Un mois plus tard, ESET a révélé des attaques visant des établissements politiques japonais qui ont conduit au déploiement de LODEINFO.
La porte dérobée est l’œuvre d’un acteur d’État-nation chinois connu sous le nom de Stone Panda (alias APT10, Bronze Riverside, Cicada, Earth Tengshe, MirrorFace et Potassium), qui a l’habitude d’orchestrer des attaques ciblant le Japon depuis 2021.
Les chaînes d’attaque commencent par des e-mails de phishing contenant des documents Microsoft Word malveillants qui, une fois ouverts, exécutent des macros VBA pour lancer le shellcode du téléchargeur capable d’exécuter finalement l’implant LODEINFO.
Des chemins d’infection LODEINFO en 2023 ont également été observés utilisant des méthodes d’injection de modèles à distance pour récupérer et exécuter des macros malveillantes hébergées sur l’infrastructure de l’adversaire chaque fois que la victime ouvre un document Word leurre contenant le modèle.
De plus, des contrôles auraient été ajoutés vers juin 2023 pour vérifier les paramètres de langue de Microsoft Office afin de déterminer s’il s’agit du japonais, pour ensuite être supprimés un mois plus tard lors d’attaques exploitant la version 0.7.1 de LODEINFO.
« De plus, le nom du fichier maldoc lui-même a été modifié du japonais vers l’anglais », a noté ITOCHU. « De là, nous pensons que la version 0.7.1 a probablement été utilisée pour attaquer des environnements dans des langues autres que le japonais. »
Un autre changement notable dans les attaques délivrant la version 0.7.1 de LODEINFO est l’introduction d’une nouvelle étape intermédiaire qui implique que le téléchargeur de shellcode récupère un fichier qui se fait passer pour un courrier à confidentialité améliorée (PEM) depuis un serveur C2, qui, à son tour, charge la porte dérobée directement en mémoire.
Le téléchargeur partage des similitudes avec un téléchargeur sans fichier connu appelé DOWNIISSA, basé sur le mécanisme d’auto-correction pour dissimuler le code malveillant, la méthode de codage des informations du serveur de commande et de contrôle (C2) et la structure des données déchiffrées à partir du faux fichier PEM.
« Le shellcode de porte dérobée LODEINFO est un malware sans fichier qui permet aux attaquants d’accéder à distance et de faire fonctionner des hôtes infectés », a déclaré la société, avec des échantillons trouvés en 2023 et 2024 incorporant des commandes supplémentaires. La dernière version de LODEINFO est la 0.7.3.
« En guise de contre-mesure, étant donné que le shellcode du téléchargeur et le shellcode de la porte dérobée de LODEINFO sont des logiciels malveillants sans fichier, il est essentiel d’introduire un produit capable d’analyser et de détecter les logiciels malveillants en mémoire afin de les détecter », ajoute-t-il.