JPCERTコーディネーションセンター(JPCERT/CC)は2月20日、国内組織を狙う新たなマルウェア「LODEINFO」への注意を呼び掛けた。情報の窃取や不正プログラムの実行などの機能を持つという。
LODEINFOが動作するまでの流れ(出典:JPCERT/CC)
JPCERT/CCによると、LODEINFOは、2019年12月頃に国内の組織を狙った標的型攻撃メールで確認された。攻撃メールに添付された不正なWord文書を開いてマクロを実行してしまうことで感染する恐れがある。
LODEINFOは、特定サイトとHTTP通信を行い、動作しているホストの名前や言語環境、MACアドレスといった情報をAESで暗号化した後、BASE64エンコードのデータを送信する。また、特定サイトからの通信を受けてPEファイルやシェルコードの実行、ファイルのアップロード/ダウンロード、プロセス停止、ファイル一覧の送信、マルウェアバージョン情報の送信といったコマンドを実行するという。
解析の結果、同マルウェアには、GitHubで公開されている「LodePNG」のソースコードと類似する部分が多数見つかった。しかし、LodePNGの機能を悪用している部分は確認できておらず、攻撃者がコードを利用している理由は不明という。また、複数の部分でデバッグ用と想定されている文字列が記載され、「v0.1.2」というバージョン情報と思われる文字列も確認された。
JPCERT/CCでは、LODEINFOが初めて確認され開発途中の可能性もあることから、今後も攻撃が続く恐れがあるとして注意を呼び掛けている。
