Il gruppo di hacker cinese Cicada, rintracciato come APT10, è stato osservato mentre abusava del software di sicurezza per installare una nuova versione del malware LODEINFO contro organizzazioni giapponesi. Secondo Kaspersky, i cui analisti seguono le operazioni di APT10 in Giappone dal 2019, gli attori della minaccia evolvono costantemente le loro tattiche di infezione e la loro backdoor personalizzata, “LODEINFO”, per rendere i rilevamenti molto più difficili. La società di cybersicurezza ha pubblicato due rapporti, uno che illustra le nuove tecniche di catena di infezione di APT10 e un secondo che si concentra sull’evoluzione di LODEINFO.
Abuso del software di sicurezza
A partire da marzo 2022, Kaspersky ha notato che gli attacchi di APT10 in Giappone utilizzavano un nuovo vettore di infezione, che comprendeva un’e-mail di spear-phishing, un file RAR autoestraente (SFX) e l’abuso di una falla di caricamento laterale di DLL nel software di sicurezza. L’archivio RAR contiene l’eseguibile legittimo del software K7Security Suite, NRTOLD.exe, e una DLL dannosa denominata K7SysMn1.dll. Quando NRTOLD.exe viene eseguito, tenta di caricare il file legittimo K7SysMn1.dll, normalmente incluso nella suite software. Tuttavia, l’eseguibile non cerca la DLL in una cartella specifica e quindi consente agli sviluppatori di malware di creare una DLL dannosa con lo stesso nome di K7SysMn1.dll. Se la DLL dannosa è memorizzata nella stessa cartella degli eseguibili legittimi, quando viene lanciata, l’eseguibile caricherà la DLL dannosa, che contiene il malware LODEINFO.
Poiché il malware viene caricato lateralmente utilizzando un’applicazione di sicurezza legittima, altri software di sicurezza potrebbero non rilevarlo come dannoso.
“K7SysMn1.dll contiene un BLOB con una routine offuscata non osservata nelle attività precedenti”, spiega Kaspersky nel report. “Il BLOB incorporato è diviso in pezzi da quattro byte e ogni parte è memorizzata in una delle 50 funzioni di esportazione con nome casuale del binario della DLL”. “Queste funzioni di esportazione ricostruiscono il BLOB in un buffer allocato e quindi decodificano lo shellcode LODEINFO utilizzando una chiave XOR a un byte”. Mentre l’archivio si estrae in background e avvia il processo di infezione, la vittima vede un documento esca in primo piano per ridurre al minimo le possibilità di rendersi conto della compromissione. Nel giugno 2022, Kaspersky ha notato un’altra variante nella catena di infezione di APT10, che utilizza uno shellcode downloader senza file consegnato tramite un documento Microsoft Office protetto da password che contiene codice VBA dannoso. Questa volta, invece del caricamento laterale della DLL, gli hacker si sono affidati al codice macro per iniettare e caricare lo shellcode (DOWNISSA) direttamente nella memoria del processo WINWORD.exe. Gli autori del malware hanno rilasciato sei nuove versioni di LODEINFO nel 2022, l’ultima delle quali è la v0.6.7, rilasciata nel settembre 2022. Alla fine del 2021, con il rilascio di LODEINFO v0.5.6, APT10 ha aggiunto più livelli di crittografia delle comunicazioni C2 utilizzando la chiave di cifratura Vigenere in combinazione con dati spazzatura generati casualmente.
Inoltre, LODEINFO v0.5.6 ha utilizzato l’offuscamento XOR per i 21 comandi supportati dalla backdoor, mentre nella versione 0.5.9 è stato introdotto un nuovo algoritmo di calcolo dell’hash per i nomi delle funzioni API. Il supporto per le piattaforme a 64 bit è stato aggiunto nella versione 0.6.2, ampliando essenzialmente la portata del malware. Questa versione ha anche introdotto un’esenzione per le macchine che utilizzano il locale “en_US” per evitare infezioni indesiderate. Nella versione 0.6.3 di LODEINFO, rilasciata nel giugno 2022, gli autori del malware hanno rimosso dieci comandi non necessari, probabilmente per rendere la backdoor più snella ed efficiente.
I comandi che rimangono nelle versioni attuali sono:
- Mostra l’elenco dei comandi della backdoor incorporata
- Scaricare un file da C2
- Caricare un file su C2
- Iniettare lo shellcode in memoria
- Uccidere un processo utilizzando un ID di processo
- Cambiare directory
- Inviare informazioni sul malware e sul sistema
- Effettuare uno screenshot
- Crittografare i file con una chiave AES generata
- Eseguire un comando utilizzando WM I
- Config (implementazione incompleta)
Le operazioni di APT10 in Giappone sono caratterizzate da una costante evoluzione, dall’espansione delle piattaforme mirate, da una migliore evasione e da catene di infezione furtive. Kaspersky afferma che LODEINFO v0.6.6 e v0.6.7, che non sono stati analizzati in questo report, sono già distribuiti tramite nuove TTP, quindi la minaccia cambia continuamente forma, rendendo molto difficile per gli analisti e i difensori tenere il passo.
