Kaspersky Labはこのほど、「APT10: Tracking down LODEINFO 2022, part I」において、日本の組織を標的とする「LODEINFO」マルウェアファミリーに関する新たな動きを伝えた。この新たな活動は2つのレポートに分割して報告されており、2つ目は「APT10: Tracking down LODEINFO 2022, part II | Securelist」に公開されている。

APT10: Tracking down LODEINFO 2022, part I

LODEINFOは、2020年2月にJPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)に名付けられたファイルレスマルウェアとされている。開発者によって定期的に改変・アップグレードされ、日本国内のメディア、外交、政府機関、公共機関、シンクタンクを標的にしていることが判明している(参考「日本の組織狙うLODEINFO「マルウェア」による標的型攻撃、観測 - JPCERT/CC | TECH+(テックプラス)」)。

Kaspersky Labのセキュリティ研究者の調査により、2022年3月にLODEINFOの新たな感染経路としてMicrosoft Wordファイルが使用されたことが明らかとなった。また、2022年6月には日本語のコンテンツを含むデコイファイルが使われ、ファイル名に日本の有名政治家の名前を悪用した、日本政府または関連組織を標的とした悪意のある自己解凍ファイル(SFX)ファイルも発見されている。さらに、LODEINFOを展開するために使用される「DOWNIISSA」と名付けられた新たなダウンローダのシェルコードも観測されている。

1つ目のレポートでは観測されたSFXファイルやDOWNIISSAなど、スピアフィッシングメールなどを使った新たな感染手口の技術的な調査が報告されており、2つ目のレポートでは、改良されたとみられている新たなLODEINFOについての機能やセキュリティ侵害インジケータ(IoC: Indicator of Compromise)などが紹介されている。

LODEINFOマルウェアは頻繁に更新され、日本の組織を積極的にターゲットにしていると指摘されている。そのため、セキュリティ研究者コミュニティ内での連携を重視し、LODEINFOや関連するマルウェア攻撃に関する結果や知見を共有することが重要だと報告されている。