ニュース

JPCERT/CC、新しいマルウェア「LODEINFO」を警告

日本国内の組織を狙った標的型攻撃メールで確認

公式ブログ“JPCERT/CC Eyes”

 一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は2月20日、公式ブログ“JPCERT/CC Eyes”で、新しいマルウェア「LODEINFO」の詳細を明らかにした。JPCERT/CCは昨年12月頃に日本国内の組織を狙った標的型攻撃メールを確認しているが、これまで確認されていなかった新種のマルウェアがWord文書に添付されているケースがあったという。

 「LODEINFO」はWord文書のマクロを有効化することでホスト上に作成され、DLLに実装されている関数を呼び出す「rundll32.exe」から実行される。「LODEINFO」が実行されると、Windows サービスをホストする「svchost.exe」プロセスを起動し、ペイロード(マルウェアが運搬するデータ本体)をインジェクション(注入)して動作する。動作したあとは、マルウェアに指令を送るWebサイト(C&Cサーバー)と通信しながら、さまざまなコマンドを実行するようだ。

「LODEINFO」が動作するまでの流れ

 JPCERT/CCによると、以下のコマンドが確認されているという。

  • PEファイルの実行
  • シェルコードの実行
  • ファイルのアップロード・ダウンロード
  • プロセスの停止
  • ファイル一覧の送信
  • マルウエアバージョン情報の送信

 「LODEINFO」を分析した結果、“GitHub”で公開されている「LodePNG」というPNGエンコーダー・デコーダーのソースコードと一致する部分が多数あったとのことだが、詳細は不明。バージョン情報として“v0.1.2”といった文字列が確認でき、現在も開発途中の可能性があるため、今後とも注意が必要だ。