中国黑客使用 LODEINFO 和 NOOPDOOR 恶意软件瞄准日本公司

日本组织是中国民族国家威胁行为者的目标，该行为者利用 LODEINFO 和 NOOPDOOR 等恶意软件家族从受感染的主机中收集敏感信息，同时在某些情况下秘密地保持低调，时间范围从两到三年不等。

以色列网络安全公司 Cybereason 正在以 Cuckoo Spear 的名义跟踪该活动，并将其归因于一个名为 APT10 的已知入侵集有关，该入侵集也被称为 Bronze Riverside、ChessMaster、Cicada、Cloudhopper、MenuPass、MirrorFace、Purple Typhoon（以前称为 Potassium）和 Stone Panda。

“NOOPDOOR背后的参与者不仅在竞选期间利用了LODEINFO，而且还利用新的后门从受感染的企业网络中泄露数据，”它说。

这些发现是在JPCERT / CC警告说，威胁行为者使用这两种恶意软件针对日本实体发动的网络攻击之后几周得出的。

今年1月初，伊藤忠商事网络情报公司（ITOCHU Cyber & Intelligence）披露，它已经发现了LODEINFO后门的更新版本，其中包含了反分析技术，突出了使用鱼叉式网络钓鱼电子邮件来传播恶意软件。

Trend Micro 最初创造了 MenuPass 一词来描述威胁参与者，它将 APT10 描述为一个由两个集群组成的伞形组织，称为 Earth Tengshe 和 Earth Kasha。据了解，黑客团队至少自2006年以来一直在运作。

虽然 Earth Tengshe 与分发 SigLoader 和 SodaMaster 的活动有关，但 Earth Kasha 归因于 LODEINFO 和 NOOPDOOR 的独家使用。据观察，这两个子组都针对面向公众的应用程序，目的是泄露网络中的数据和信息。

据说地球腾舍还与另一个代号为青铜星光（又名帝蜻蜓或风暴-0401）的集群有关，该集群有运行短命勒索软件家族的历史，如LockFile、Atom Silo、Rook、Night Sky、Pandora和Cheerscrypt。

另一方面，自 2023 年 4 月以来，已发现 Earth Kasha 通过利用面向公众的应用程序来切换其初始访问方法，利用 Array AG （CVE-2023-28461）、Fortinet （CVE-2023-27997） 和 Proself （CVE-2023-45727） 实例中未修补的缺陷来分发 LODEINFO 和 NOOPDOOR（又名 HiddenFace）。