Des chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9couvert une version mise \u00e0 jour d’une porte d\u00e9rob\u00e9e appel\u00e9e LODEINFO<\/strong> qui est distribu\u00e9 via des attaques de spear phishing.<\/p>\n Les conclusions proviennent de la soci\u00e9t\u00e9 japonaise ITOCHU Cyber \u200b\u200b& Intelligence, qui dit<\/a> le malware “a \u00e9t\u00e9 mis \u00e0 jour avec de nouvelles fonctionnalit\u00e9s, ainsi que des modifications apport\u00e9es aux techniques d’anti-analyse (\u00e9vitement de l’analyse)”.<\/p>\n LODEINFO (versions 0.6.6 et 0.6.7) a \u00e9t\u00e9 document\u00e9 pour la premi\u00e8re fois par Kaspersky en novembre 2022, d\u00e9taillant ses capacit\u00e9s \u00e0 ex\u00e9cuter du shellcode arbitraire, \u00e0 prendre des captures d’\u00e9cran et \u00e0 exfiltrer des fichiers vers un serveur contr\u00f4l\u00e9 par un acteur.<\/p>\n Un mois plus tard, ESET a r\u00e9v\u00e9l\u00e9 des attaques visant des \u00e9tablissements politiques japonais qui ont conduit au d\u00e9ploiement de LODEINFO.<\/p>\n La porte d\u00e9rob\u00e9e est l\u2019\u0153uvre d\u2019un acteur d\u2019\u00c9tat-nation chinois connu sous le nom de Stone Panda (alias APT10, Bronze Riverside, Cicada, Earth Tengshe, MirrorFace et Potassium), qui a l\u2019habitude d\u2019orchestrer des attaques ciblant le Japon depuis 2021.<\/p>\n Les cha\u00eenes d’attaque commencent par des e-mails de phishing contenant des documents Microsoft Word malveillants qui, une fois ouverts, ex\u00e9cutent des macros VBA pour lancer le shellcode du t\u00e9l\u00e9chargeur capable d’ex\u00e9cuter finalement l’implant LODEINFO.<\/p>\n Des chemins d’infection LODEINFO en 2023 ont \u00e9galement \u00e9t\u00e9 observ\u00e9s utilisant des m\u00e9thodes d’injection de mod\u00e8les \u00e0 distance pour r\u00e9cup\u00e9rer et ex\u00e9cuter des macros malveillantes h\u00e9berg\u00e9es sur l’infrastructure de l’adversaire chaque fois que la victime ouvre un document Word leurre contenant le mod\u00e8le.<\/p>\n De plus, des contr\u00f4les auraient \u00e9t\u00e9 ajout\u00e9s vers juin 2023 pour v\u00e9rifier les param\u00e8tres de langue de Microsoft Office afin de d\u00e9terminer s’il s’agit du japonais, pour ensuite \u00eatre supprim\u00e9s un mois plus tard lors d’attaques exploitant la version 0.7.1 de LODEINFO.<\/p>\n “De plus, le nom du fichier maldoc lui-m\u00eame a \u00e9t\u00e9 modifi\u00e9 du japonais vers l’anglais”, a not\u00e9 ITOCHU. “De l\u00e0, nous pensons que la version 0.7.1 a probablement \u00e9t\u00e9 utilis\u00e9e pour attaquer des environnements dans des langues autres que le japonais.”<\/p>\n Un autre changement notable dans les attaques d\u00e9livrant la version 0.7.1 de LODEINFO est l’introduction d’une nouvelle \u00e9tape interm\u00e9diaire qui implique que le t\u00e9l\u00e9chargeur de shellcode r\u00e9cup\u00e8re un fichier qui se fait passer pour un courrier \u00e0 confidentialit\u00e9 am\u00e9lior\u00e9e (PEM<\/a>) depuis un serveur C2, qui, \u00e0 son tour, charge la porte d\u00e9rob\u00e9e directement en m\u00e9moire.<\/p>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/Les-logiciels-malveillants-sans-fichier-LODEINFO-evoluent-grace-aux-astuces.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/div>\n