Лаборатория Касперского: вредоносное ПО LODEINFO использует антивирус для обхода антивируса

[Artifact]

Новая кампания китайских хакеров направлена на шпионаж госучреждений Японии.

Китайская группировка Cicada, отслеживаемая как APT10 , использует ПО безопасности для установки новой версии вредоносного ПО LODEINFO в сетях японских организаций. Об этом сообщили исследователи Лаборатории Касперского.
Цели группы – СМИ, дипломатические представительства, правительственные организации и госучреждения, а также аналитические центры Японии, все они представляют большой интерес для кибершпионажа.
Эксперты отслеживают кампанию Cicada с марта 2022 года, в рамках которой используется фишинг по электронной почте, самораспаковывающийся RAR-файл и эксплуатация уязвимости боковой загрузки DLL (DLL Sideloading) в ПО безопасности.
RAR-архив содержит легитимный исполняемый файл (NRTOLD.exe) антивирусной программы «K7Security Suite» и вредоносную DLL-библиотеку с именем «K7SysMn1.dll». Когда NRTOLD.exe запускается, он пытается загрузить файл K7SysMn1.dll, который обычно входит в комплект ПО.
Если вредоносная DLL хранится в той же папке, что и легитимные исполняемые файлы, при запуске EXE-файл загружает вредоносную DLL-библиотеку, содержащую вредоносное ПО LODEINFO.
Поскольку вредоносное ПО загружается с использованием легитимного антивирусного ПО, система защиты устройства не определяет LODEINFO как вредоносное ПО. Пока архив извлекается в фоновом режиме и инициирует процесс заражения, на экране жертвы отображается документ-приманка.
По словам Лаборатории Касперского, авторы вредоносных программ выпустили 6 новых версий LODEINFO в 2022 году, последняя из которых (v0.6.7) выпущена в сентябре 2022 года. Актуальная версия содержит следующие команды:

• Показать список команд бэкдора;

• Скачать файл с C&C-сервера;

• Загрузить файл на C&C-сервер;

• Внедрить шелл-код в память;

• Завершить процесс, используя идентификатор процесса;

• Изменить каталог;

• Отправить вредоносное ПО и системную информацию;

• Сделать снимок экрана;

• Выполнить шифрование файлов с помощью сгенерированного AES-ключа;

Лаборатория Касперского сообщает, что версии LODEINFO v0.6.6 и v0.6.7, которые не были проанализированы в этом отчете, уже распространяются через новые TTPs, поэтому угроза постоянно меняет форму, что затрудняет отслеживание аналитиками и ИБ-специалистами.
Ранее стало известно, что китайские хакеры из группы Witchetty, связанной с APT10, проводят кампании киберпшпионажа против правительств на Ближнем Востоке и фондовой биржи в Африке. В этой кампании киберпреступники спрятали вредоносное ПО в логотип Windows.