LODEINFO – dateilose Malware wird immer gefährlicher
Cybersecurity-Forscher haben eine überarbeitete Ausführung der Backdoor "LODEINFO" aufgedeckt, die vorwiegend mittels Spearphishing-Angriffen verbreitet wird. Die Neuheit dabei: Diese Version beherrscht nun Anti-Analyse- und Remote-Code-Tricks, was sie weitaus gefährlicher macht als ihre Vorgänger.
Die LODEINFO-Malware (Versionen 0.6.6 und 0.6.7) wurde erstmals im November 2022 von Kaspersky identifiziert. Das Unternehmen stellte damals fest, dass die Malware in der Lage ist, beliebigen Shellcode auszuführen, Screenshots zu machen und Dateien an einen Server zu senden, der von einem Angreifer kontrolliert wird. Einen Monat später deckte ESET Angriffe auf politische Einrichtungen in Japan auf, bei denen LODEINFO zum Einsatz kam.
Die neuen Informationen stammen nun von ITOCHU Cyber & Intelligence, einem japanischen Unternehmen. Es berichtet, dass die Malware „mit neuen Funktionen sowie Änderungen an den Anti-Analyse-Techniken aktualisiert wurde“. Die Backdoor wurde von einer chinesischen Gruppe namens Stone Panda erstellt (auch bekannt als APT10, Bronze Riverside, Cicada, Earth Tengshe, MirrorFace und Potassium) – diese Gruppe führt seit 2021 Angriffe gegen Japan durch.
Die Attacken beginnen mit Phishing-E-Mails, die schädliche Microsoft Word-Dokumente enthalten. Wenn diese Dokumente geöffnet werden, führen sie VBA-Makros aus, die einen Downloader-Shellcode starten. Dieser Shellcode führt schließlich LODEINFO aus.
Im Jahr 2023 wurden bei LODEINFO-Infektionen auch Methoden verwendet, bei denen bösartige Makros aus der Infrastruktur des Angreifers abgerufen und jedes Mal ausgeführt wurden, wenn das Opfer ein Word-Dokument mit der entsprechenden Vorlage öffnete (Remote-Vorlageninjektion).
Im Juni 2023 hat man zusätzlich Tests eingeführt, um die Spracheinstellungen von Microsoft Office auf Japanisch zu überprüfen. Jedoch wurden diese einen Monat später bei Angriffen mit der LODEINFO-Version 0.7.1 wieder entfernt. ITOCHU berichtet außerdem, dass der Dateiname der schädlichen Dokumentdatei selbst von Japanisch auf Englisch geändert wurde. Daher wird vermutet, dass die Version 0.7.1 wahrscheinlich für Angriffe in Umgebungen mit anderen Sprachen als Japanisch benutzt wurde.
Bei Angriffen mit der LODEINFO-Version 0.7.1 habe man nun eine wichtige Veränderung festgestellt: Es gibt einen neuen Schritt, bei dem der Shellcode-Downloader eine Datei vom C2-Server abruft. Diese Datei tarnt sich als Privacy-Enhanced Mail (PEM) und lädt die Backdoor direkt in den Speicher.
Der Downloader ähnelt einem bekannten dateilosen Downloader namens DOWNIISSA. Das zeigt sich in einem Self-Patching-Mechanismus zur Verschleierung des schädlichen Codes, der Codierungsmethode für Command-and-Control (C2)-Serverinformationen und der Struktur der Daten, die aus der gefälschten PEM-Datei entschlüsselt werden.
Die LODEINFO-Backdoor-Shellcode ist eine dateilose Malware, die Angreifern ermöglicht, aus der Ferne auf infizierte Hosts zuzugreifen und diese zu steuern. Beispiele, die in den Jahren 2023 und 2024 gefunden wurden, enthalten zusätzliche Befehle. Die aktuellste Version von LODEINFO ist 0.7.3.
Die Bezeichnung „dateilose Malware“ bezieht sich auf eine Art von Schadsoftware, die nicht direkt auf der Festplatte oder in Dateien gespeichert ist. Stattdessen bleibt der bösartige Code im Arbeitsspeicher des Computers, was es für herkömmliche Antivirenprogramme schwieriger macht, sie zu erkennen. In diesem Fall betrifft dies sowohl den Downloader-Shellcode als auch den Backdoor-Shellcode von LODEINFO.
Ein Sicherheitsprodukt, das in der Lage ist, Malware im Speicher zu erkennen, spielt eine entscheidende Rolle bei der Abwehr dieser Bedrohung. Wenn herkömmliche Antivirenprogramme sich auf die Überprüfung von Dateien und Festplatten konzentrieren, kann eine dateilose Malware, die sich ausschließlich im Arbeitsspeicher befindet, leicht übersehen werden.