اكتشف باحثو ESET حملة حربية استهدفت الكيانات السياسية اليابانية قبل أسابيع قليلة من انتخابات مجلس المستشارين ، وفي هذه العملية اكتشفوا سارق أوراق اعتماد MirrorFace غير الموصوف سابقًا
اكتشف باحثو ESET حملة صيد بالرمح ، تم إطلاقها في الأسابيع التي سبقت انتخاب مجلس المستشارين الياباني في يوليو 2022 ، من قبل مجموعة APT التي تتبعها ESET Research باسم MirrorFace. الحملة ، التي أطلقنا عليها اسم عملية LiberalFace ، استهدفت الكيانات السياسية اليابانية ؛ كشف تحقيقنا أن أعضاء حزب سياسي معين كانوا موضع تركيز خاص في هذه الحملة. كشفت ESET Research عن تفاصيل حول هذه الحملة ومجموعة APT التي تقف وراءها في مؤتمر AVAR 2022 في بداية هذا الشهر.
- في نهاية يونيو 2022 ، أطلقت MirrorFace حملة أطلقنا عليها اسم عملية LiberalFace ، والتي استهدفت الكيانات السياسية اليابانية.
- تم إرسال رسائل البريد الإلكتروني Spearphishing التي تحتوي على الباب الخلفي الرئيسي للمجموعة LODEINFO إلى الأهداف.
- تم استخدام LODEINFO لتقديم برامج ضارة إضافية ، وسرقة بيانات اعتماد الضحية ، وسرقة وثائق ورسائل البريد الإلكتروني الخاصة بالضحية.
- تم استخدام سارق بيانات اعتماد غير موصوف سابقًا أطلقنا عليه اسم MirrorStealer في عملية LiberalFace.
- أجرت ESET Research تحليلاً لأنشطة ما بعد التسوية ، مما يشير إلى أن الإجراءات التي تمت ملاحظتها قد تم تنفيذها بطريقة يدوية أو شبه يدوية.
- تمت مشاركة تفاصيل حول هذه الحملة في مؤتمر AVAR 2022.
MirrorFace هو ممثل تهديد يتحدث اللغة الصينية ويستهدف الشركات والمؤسسات الموجودة في اليابان. في حين أن هناك بعض التكهنات بأن جهة التهديد هذه قد تكون مرتبطة بـ APT10 (Macnica, Kaspersky) ، فإن ESET غير قادر على إسنادها إلى أي مجموعة APT معروفة. لذلك ، فإننا نتتبعه ككيان منفصل أطلقنا عليه اسم MirrorFace. على وجه الخصوص ، تم استخدام MirrorFace و LODEINFO ، وهما برمجيات خبيثة مملوكة لهما تُستخدم حصريًا ضد أهداف في اليابان ، وذكرت كاستهداف وسائل الإعلام والشركات ذات الصلة بالدفاع ومراكز الفكر والمنظمات الدبلوماسية والمؤسسات الأكاديمية. الهدف من MirrorFace هو التجسس واستخراج الملفات ذات الأهمية.
نعزو عملية LiberalFace إلى MirrorFace بناءً على هذه المؤشرات:
- على حد علمنا ، يتم استخدام برامج LODEINFO الضارة حصريًا بواسطة MirrorFace.
- تتوافق أهداف عملية LiberalFace مع استهداف MirrorFace التقليدي.
- اتصلت عينة من البرامج الضارة LODEINFO من المرحلة الثانية بخادم القيادة والتحكم الذي نتتبعه داخليًا كجزء من البنية الأساسية لـ MirrorFace.
إحدى رسائل البريد الإلكتروني المخادعة التي تم إرسالها في عملية LiberalFace تم طرحها كرسالة رسمية من قسم العلاقات العامة لحزب سياسي ياباني معين ، تحتوي على طلب يتعلق بانتخابات مجلس المستشارين ، ويُزعم أنها أرسلت نيابة عن سياسي بارز. احتوت جميع رسائل البريد الإلكتروني الخبيثة على مرفق ضار نشر LODEINFO على الجهاز المخترق عند التنفيذ.
بالإضافة إلى ذلك ، اكتشفنا أن MirrorFace قد استخدم برامج ضارة غير موثقة سابقًا ، والتي أطلقنا عليها اسم MirrorStealer ، لسرقة بيانات اعتماد الهدف. نعتقد أن هذه هي المرة الأولى التي يتم فيها وصف هذا البرنامج الضار علنًا.
في هذه المدونة ، نغطي أنشطة ما بعد الاختراق التي تمت ملاحظتها ، بما في ذلك أوامر القيادة والتحكم المرسلة إلى LODEINFO لتنفيذ الإجراءات. استنادًا إلى بعض الأنشطة التي تم إجراؤها على الجهاز المتأثر ، نعتقد أن مشغل MirrorFace أصدر أوامر إلى LODEINFO بطريقة يدوية أو شبه يدوية.
الوصول الأولي
بدأ MirrorFace الهجوم في 29 يونيوth، 2022، توزيع رسائل البريد الإلكتروني التصيدية مع مرفقات ضارة على الأهداف. وكان موضوع البريد الإلكتروني SNS用 動画 拡 散 の お 願 い (ترجمة من Google Translate: [هام] طلب نشر فيديوهات لـ SNS). يوضح الشكل 1 والشكل 2 محتواه.
الشكل 2. نسخة مترجمة
زعمت MirrorFace أنها قسم العلاقات العامة في حزب سياسي ياباني ، وطلبت من المستلمين توزيع مقاطع الفيديو المرفقة على ملفاتهم الشخصية على وسائل التواصل الاجتماعي (SNS - خدمة الشبكة الاجتماعية) لتعزيز العلاقات العامة للحزب وتأمين الفوز في مجلس المستشارين. علاوة على ذلك ، يوفر البريد الإلكتروني إرشادات واضحة حول استراتيجية نشر مقاطع الفيديو.
منذ إجراء انتخابات مجلس المستشارين في 10 يوليوth، 2022 ، يشير هذا البريد الإلكتروني بوضوح إلى أن MirrorFace سعت إلى فرصة مهاجمة الكيانات السياسية. أيضًا ، يشير محتوى محدد في البريد الإلكتروني إلى أنه تم استهداف أعضاء حزب سياسي معين.
استخدم MirrorFace أيضًا بريدًا إلكترونيًا خادعًا آخر في الحملة ، حيث كان عنوان المرفق 参考】 220628発・選挙管理委員会宛文書(添書分).إملف تنفيذى (الترجمة من جوجل ترجمة: [المرجع] 220628 وثائق الوزارة للجنة إدارة الانتخابات (ملحق.exe). تشير الوثيقة المرفقة (الموضحة في الشكل 3) إلى انتخابات مجلس المستشارين أيضًا.
الشكل 3. عرض مستند شرك للهدف
في كلتا الحالتين، احتوت رسائل البريد الإلكتروني على مرفقات ضارة في شكل أرشيفات WinRAR ذاتية الاستخراج بأسماء خادعة SNS用動画 拡散のお願い.إملف تنفيذى (الترجمة من جوجل ترجمة: طلب نشر مقاطع فيديو لـ SNS.exe) و 【参考】220628発・選挙管理委員会宛文書(添書分).إملف تنفيذى (الترجمة من جوجل ترجمة: [المرجع] 220628 وثائق الوزارة للجنة إدارة الانتخابات (ملحق.exe) على التوالي.
تستخرج هذه EXE محتواها المؤرشف في ملف ٪مؤقت٪ مجلد. على وجه الخصوص ، يتم استخراج أربعة ملفات:
- K7SysMon.exe، وهو تطبيق حميد تم تطويره بواسطة K7 Computing Pvt Ltd عرضة لاختطاف أوامر بحث DLL
- K7SysMn1.dll، محمل ضار
- K7SysMon.Exe.db، مشفرة LODEINFO البرمجيات الخبيثة
- وثيقة شرك
بعد ذلك ، يتم فتح المستند الوهمي لخداع الهدف ولتظهر حميدة. كخطوة أخيرة ، K7SysMon.exe يتم تنفيذه والذي يقوم بتحميل اللودر الضار K7SysMn1.dll سقطت بجانبه. أخيرًا ، يقرأ المُحمل محتوى K7SysMon.Exe.dbويفك تشفيرها ثم ينفذها. لاحظ أن هذا الأسلوب تمت ملاحظته أيضًا بواسطة Kaspersky ووصفه في ملفات تقرير.
مجموعة أدوات
في هذا القسم ، نصف البرمجيات الخبيثة MirrorFace المستخدمة في عملية LiberalFace.
لودينفو
LODEINFO هو باب خلفي لـ MirrorFace يخضع للتطوير المستمر. JPCERT ذكرت عن الإصدار الأول من LODEINFO (الإصدار 0.1.2) ، الذي ظهر في حوالي ديسمبر 2019 ؛ تسمح وظائفه بالتقاط لقطات الشاشة ، وتسجيل لوحة المفاتيح ، وقتل العمليات ، واستخراج الملفات ، وتنفيذ ملفات وأوامر إضافية. منذ ذلك الحين ، لاحظنا العديد من التغييرات التي أدخلت على كل نسخة من إصداراتها. على سبيل المثال ، أضاف الإصدار 0.3.8 (الذي اكتشفناه لأول مرة في يونيو 2020) أمر الفدية (الذي يقوم بتشفير الملفات والمجلدات المحددة) ، والإصدار 0.5.6 (الذي اكتشفناه في يوليو 2021) أضاف الأمر التكوين، والذي يسمح للمشغلين بتعديل تكوينه المخزن في السجل. إلى جانب تقارير JPCERT المذكورة أعلاه ، تم أيضًا نشر تحليل مفصل للباب الخلفي LODEINFO في وقت سابق من هذا العام بواسطة Kaspersky.
في عملية LiberalFace ، لاحظنا أن مشغلي MirrorFace يستخدمون كلاً من LODEINFO العادي وما نسميه المرحلة الثانية من البرامج الضارة LODEINFO. يمكن تمييز المرحلة الثانية من LODEINFO عن LODEINFO العادية من خلال النظر في الوظائف العامة. على وجه الخصوص ، تقبل المرحلة الثانية LODEINFO وتشغل ثنائيات PE ورمز القشرة خارج الأوامر المنفذة. علاوة على ذلك ، يمكن للمرحلة الثانية LODEINFO معالجة أمر C&C التكوين، ولكن وظيفة الأمر فدية مفقود.
أخيرًا ، تختلف البيانات الواردة من خادم القيادة والتحكم بين خادم LODEINFO العادي وخادم المرحلة الثانية. بالنسبة للمرحلة الثانية من LODEINFO ، يقوم خادم القيادة والتحكم بإرسال محتوى صفحة الويب العشوائية إلى البيانات الفعلية. انظر الشكل 4 والشكل 5 والشكل 6 الذي يصور اختلاف البيانات المستلمة. لاحظ أن مقتطف الشفرة المقدم يختلف لكل دفق بيانات مستلم عن المرحلة الثانية C&C.
الشكل 4. البيانات الواردة من المرحلة الأولى LODEINFO C&C
الشكل 5. البيانات الواردة من المرحلة الثانية C & C
الشكل 6. تم استلام تدفق بيانات آخر من المرحلة الثانية C & C
مرآة
MirrorStealer ، اسمه داخليًا 31558_n.dll بواسطة MirrorFace ، هو سارق أوراق اعتماد. على حد علمنا ، لم يتم وصف هذا البرنامج الضار علنًا. بشكل عام ، يسرق MirrorStealer بيانات الاعتماد من تطبيقات مختلفة مثل المتصفحات وعملاء البريد الإلكتروني. ومن المثير للاهتمام أن أحد التطبيقات المستهدفة هو بيكي!، وهو عميل بريد إلكتروني متوفر حاليًا في اليابان فقط. يتم تخزين جميع بيانات الاعتماد المسروقة في ملفات ٪ TEMP٪ 31558.txt ونظرًا لأن MirrorStealer لا تملك القدرة على إخراج البيانات المسروقة ، فإن ذلك يعتمد على البرامج الضارة الأخرى للقيام بذلك.
أنشطة ما بعد التسوية
خلال بحثنا ، تمكنا من ملاحظة بعض الأوامر التي تم إصدارها لأجهزة الكمبيوتر المخترقة.
مراقبة البيئة الأولية
بمجرد إطلاق LODEINFO على الأجهزة المخترقة واتصالها بنجاح بخادم القيادة والتحكم ، بدأ المشغل في إصدار الأوامر (انظر الشكل 7).
الشكل 7. مراقبة البيئة الأولية بواسطة مشغل MirrorFace عبر LODEINFO
أولاً ، أصدر المشغل أحد أوامر LODEINFO ، طباعة، لالتقاط شاشة الجهاز المخترق. تبع ذلك أمر آخر ، ls، لعرض محتوى المجلد الحالي الذي يقيم فيه LODEINFO (على سبيل المثال ، ٪مؤقت٪). بعد ذلك مباشرة ، استخدم المشغل LODEINFO للحصول على معلومات الشبكة عن طريق التشغيل عرض صافي و net view / المجال. يقوم الأمر الأول بإرجاع قائمة أجهزة الكمبيوتر المتصلة بالشبكة ، بينما يقوم الأمر الثاني بإرجاع قائمة المجالات المتاحة.
سرقة بيانات الاعتماد وملفات تعريف الارتباط بالمتصفح
بعد جمع هذه المعلومات الأساسية ، انتقل المشغل إلى المرحلة التالية (انظر الشكل 8).
الشكل 8. تدفق التعليمات المرسلة إلى LODEINFO لنشر أداة سرقة بيانات الاعتماد ، وجمع بيانات الاعتماد وملفات تعريف الارتباط للمتصفح ، ونقلها إلى خادم القيادة والتحكم
أصدر عامل التشغيل أمر إرسال LODEINFO مع الأمر الفرعي -ذاكرة لتقديم مرآة البرامج الضارة على الجهاز المخترق. الأمر الفرعي -ذاكرة تم استخدامه للإشارة إلى LODEINFO للاحتفاظ بـ MirrorStealer في ذاكرته ، مما يعني أنه لم يتم إسقاط الملف الثنائي لـ MirrorStealer على القرص. في وقت لاحق ، الأمر ذاكرة تم اصدارها. أمر هذا الأمر LODEINFO بأخذ MirrorStealer ، وحقنه في المنتج الذي تم إنتاجه CMD.EXE العملية وتشغيلها.
بمجرد أن يقوم MirrorStealer بجمع بيانات الاعتماد وتخزينها في ٪ temp٪ 31558.txt، استخدم عامل التشغيل LODEINFO لسحب أوراق الاعتماد.
كان عامل الهاتف مهتمًا أيضًا بملفات تعريف الارتباط لمتصفح الضحية. ومع ذلك ، لا يمتلك MirrorStealer القدرة على جمع هؤلاء. لذلك ، قام المشغل بسحب ملفات تعريف الارتباط يدويًا عبر LODEINFO. أولاً ، استخدم عامل التشغيل الأمر LODEINFO دير لسرد محتويات المجلدات ٪ LocalAppData٪ GoogleChromeUser Data و ٪ LocalAppData٪ MicrosoftEdgeUser Data. بعد ذلك ، نسخ المشغل جميع ملفات تعريف الارتباط المحددة إلى ملف ٪مؤقت٪ مجلد. بعد ذلك ، قام المشغل بسحب جميع ملفات تعريف الارتباط المجمعة باستخدام الأمر LODEINFO ريكف. أخيرًا ، حذف المشغل ملفات تعريف الارتباط المنسوخة من ملف ٪مؤقت٪ مجلد في محاولة لإزالة الآثار.
سرقة المستندات والبريد الإلكتروني
في الخطوة التالية ، قام المشغل بسحب المستندات من أنواع مختلفة بالإضافة إلى رسائل البريد الإلكتروني المخزنة (انظر الشكل 9).
الشكل 9. تدفق التعليمات المرسلة إلى LODEINFO لسحب الملفات ذات الأهمية
لذلك ، استخدم المشغل أولاً LODEINFO لتقديم أرشيف WinRAR (rar.exe). عن طريق rar.exe، قام المشغل بجمع الملفات المهمة وأرشفتها والتي تم تعديلها بعد 2022-01-01 من المجلدات ٪ USERPROFILE٪ و C: $ Recycle.Bin. كان العامل مهتمًا بكل هذه الملفات ذات الامتدادات.وثيقة *, .ppt *, .xls *, .jtd, يمل, . * xpsو قوات الدفاع الشعبي.
لاحظ أنه إلى جانب أنواع المستندات الشائعة ، كان MirrorFace مهتمًا أيضًا بالملفات ذات الامتداد .jtd امتداد. هذا يمثل وثائق معالج الكلمات الياباني إيتشيتارو تم تطويره بواسطة JustSystems.
بمجرد إنشاء الأرشيف ، قام المشغل بتسليم عميل بروتوكول النسخ الآمن (SCP) من ملف المعجون جناح (pscp.exe) ثم استخدمه في إخراج أرشيف RAR الذي تم إنشاؤه للتو إلى الخادم في 45.32.13 [.] 180. لم يتم ملاحظة عنوان IP هذا في نشاط MirrorFace السابق ولم يتم استخدامه كخادم C & C في أي برنامج LODEINFO ضار لاحظناه. بعد أن تم إخراج الأرشيف مباشرة ، تم حذف عامل التشغيل rar.exe, pscp.exe، وأرشيف RAR لتنظيف آثار النشاط.
نشر المرحلة الثانية من LODEINFO
كانت الخطوة الأخيرة التي لاحظناها هي تقديم المرحلة الثانية من LODEINFO (انظر الشكل 10).
الشكل 10. تدفق التعليمات المرسلة إلى LODEINFO لنشر المرحلة الثانية من LODEINFO
قام المشغل بتسليم الثنائيات التالية: JSESPR.dll, jsSchHlp.exeو vcruntime140.dll للجهاز المخترق. الأصلي jsSchHlp.exe هو تطبيق حميد موقع من JUSTSYSTEMS CORPORATION (صانعي معالج الكلمات الياباني المذكور سابقًا ، Ichitaro). ومع ذلك ، في هذه الحالة ، أساء عامل MirrorFace استخدام التحقق المعروف من توقيع Microsoft الرقمي قضية وألحق بيانات RC4 المشفرة بملف jsSchHlp.exe توقيع إلكتروني. بسبب المشكلة المذكورة ، لا يزال Windows يعتبر الملف المعدل jsSchHlp.exe ليتم التوقيع عليها بشكل صحيح.
jsSchHlp.exe عرضة أيضًا للتحميل الجانبي لـ DLL. لذلك ، عند التنفيذ ، المزروعة JSESPR.dll تم تحميله (انظر الشكل 11).
الشكل 11. تدفق تنفيذ المرحلة الثانية من LODEINFO
JSESPR.dll هو أداة تحميل ضارة تقرأ الحمولة الملحقة من jsSchHlp.exeوفك تشفيرها وتشغيلها. الحمولة هي المرحلة الثانية من LODEINFO ، وبمجرد تشغيلها ، استخدم المشغل LODEINFO العادي لضبط الثبات للمرحلة الثانية. على وجه الخصوص ، قام المشغل بتشغيل reg.exe فائدة لإضافة قيمة مسماة JsSchHlp إلى يجري مفتاح التسجيل على المسار إلى jsSchHlp.exe.
ومع ذلك ، يبدو لنا أن المشغل لم يتمكن من جعل المرحلة الثانية من LODEINFO تتواصل بشكل صحيح مع خادم القيادة والتحكم. لذلك ، فإن أي خطوات أخرى للمشغل باستخدام المرحلة الثانية من LODEINFO تظل غير معروفة لنا.
ملاحظات مثيرة للاهتمام
خلال التحقيق ، قدمنا بعض الملاحظات المثيرة للاهتمام. أحدها هو أن المشغل ارتكب بعض الأخطاء والأخطاء المطبعية عند إصدار أوامر إلى LODEINFO. على سبيل المثال ، أرسل عامل التشغيل السلسلة cmd / c dir "c: use" إلى LODEINFO ، والذي كان من المفترض أن يكون على الأرجح cmd / c dir "c: users".
يشير هذا إلى أن المشغل يصدر أوامر إلى LODEINFO بطريقة يدوية أو شبه يدوية.
ملاحظتنا التالية هي أنه على الرغم من قيام المشغل ببعض عمليات التنظيف لإزالة آثار الاختراق ، فقد نسي المشغل حذفه ٪ temp٪ 31558.txt - السجل الذي يحتوي على أوراق الاعتماد المسروقة. وبالتالي ، بقي هذا الأثر على الأقل على الجهاز المخترق ويظهر لنا أن المشغل لم يكن دقيقًا في عملية التنظيف.
وفي الختام
تواصل MirrorFace استهداف أهداف عالية القيمة في اليابان. في عملية LiberalFace ، استهدفت على وجه التحديد الكيانات السياسية باستخدام انتخابات مجلس المستشارين المقبلة لمصلحتها. الأكثر إثارة للاهتمام ، تشير نتائجنا إلى أن MirrorFace ركزت بشكل خاص على أعضاء حزب سياسي معين.
أثناء التحقيق في عملية LiberalFace ، تمكنا من الكشف عن المزيد من برامج نقل الملفات عبر MirrorFace ، مثل نشر واستخدام برامج وأدوات ضارة إضافية لجمع البيانات القيمة من الضحايا واستخراجها. علاوة على ذلك ، كشف تحقيقنا أن مشغلي MirrorFace غير مبالين إلى حد ما ، حيث يتركون آثارًا ويرتكبون أخطاء مختلفة.
تقدم ESET Research أيضًا تقارير استخباراتية خاصة لـ APT وموجزات بيانات. لأية استفسارات حول هذه الخدمة ، قم بزيارة استخبارات التهديدات من إسيت .
شركات النفط العالمية
ملفات
| SHA-1 | اسم الملف | اسم اكتشاف ESET | الوصف |
|---|---|---|---|
| F4691FF3B3ACD15653684F372285CAC36C8D0AEF | K7SysMn1.dll | Win32 / Agent.ACLP | محمل LODEINFO. |
| DB81C8719DDAAE40C8D9B9CA103BBE77BE4FCE6C | K7SysMon.Exe.db | N / A | تشفير LODEINFO. |
| A8D2BE15085061B753FDEBBDB08D301A034CE1D5 | jsSchHlp.exe | Win32 / Agent.ACLP | jsSchHlp.exe مع المرحلة الثانية المشفرة الملحقة LODEINFO في ملف دليل الأمان. |
| 0AB7BB3FF583E50FBF28B288E71D3BB57F9D1395 | JSESPR.dll | Win32 / Agent.ACLP | محمل LODEINFO من المرحلة الثانية. |
| E888A552B00D810B5521002304D4F11BC249D8ED | 31558_n.dll | Win32 / Agent.ACLP | MirrorStealer سارق أوراق الاعتماد. |
شبكة
| IP | مزود | الروية الأولى | التفاصيل |
|---|---|---|---|
| 5.8.95 [.] 174 | مختبرات G-Core SA | 2022-06-13 | خادم LODEINFO C&C. |
| 45.32.13 [.] 180 | AS-تشووبا | 2022-06-29 | خادم لاستخراج البيانات. |
| 103.175.16 [.] 39 | استضافة جيجابت Sdn Bhd | 2022-06-13 | خادم LODEINFO C&C. |
| 167.179.116 [.] 56 | AS-تشووبا | 2021-10-20 | www.ninesmn [.] com، خادم LODEINFO C&C للمرحلة الثانية. |
| 172.105.217 [.] 233 | Linode، LLC | 2021-11-14 | www.aesorunwe [.] com، خادم LODEINFO C&C للمرحلة الثانية. |
تقنيات MITER ATT & CK
تم بناء هذا الجدول باستخدام إصدار 12 من إطار MITER ATT & CK.
لاحظ أنه على الرغم من أن منشور المدونة هذا لا يوفر نظرة عامة كاملة عن إمكانيات LODEINFO لأن هذه المعلومات متاحة بالفعل في منشورات أخرى ، فإن جدول MITER ATT & CK أدناه يحتوي على جميع التقنيات المرتبطة بها.
| تكتيك | ID | الاسم | الوصف |
|---|---|---|---|
| الوصول الأولي | T1566.001 | التصيد الاحتيالي: مرفق Spearphishing | يتم إرفاق أرشيف WinRAR SFX الخبيث برسالة بريد إلكتروني خبيثة. |
| التنفيذ | T1106 | API الأصلي | يمكن لـ LODEINFO تنفيذ الملفات باستخدام امتداد إنشاء العملية API. |
| T1204.002 | تنفيذ المستخدم: ملف ضار | يعتمد مشغلو MirrorFace على الضحية التي تفتح مرفقًا ضارًا يتم إرساله عبر البريد الإلكتروني. | |
| T1559.001 | الاتصال بين العمليات: نموذج كائن المكون | يمكن لـ LODEINFO تنفيذ الأوامر عبر نموذج كائن المكون. | |
| إصرار | T1547.001 | التمهيد أو تنفيذ تسجيل الدخول التلقائي: مفاتيح تشغيل التسجيل / مجلد بدء التشغيل | يضيف LODEINFO إدخالاً إلى ملف تشغيل HKCU مفتاح لضمان المثابرة.
لاحظنا أن مشغلي MirrorFace يضيفون يدويًا إدخالًا إلى ملف تشغيل HKCU مفتاح لضمان المثابرة للمرحلة الثانية LODEINFO. |
| التهرب الدفاعي | T1112 | تعديل التسجيل | يمكن لـ LODEINFO تخزين التكوين الخاص به في التسجيل. |
| T1055 | حقن العملية | يمكن لـ LODEINFO حقن كود القشرة في ملفات CMD.EXE. | |
| T1140 | فك تشفير / فك تشفير الملفات أو المعلومات | تقوم أداة تحميل LODEINFO بفك تشفير الحمولة باستخدام XOR أحادي البايت أو RC4. | |
| T1574.002 | تدفق تنفيذ الاختراق: تحميل جانبي لـ DLL | يقوم MirrorFace بتحميل LODEINFO من خلال إسقاط مكتبة ضارة وملف تنفيذي شرعي (على سبيل المثال ، K7SysMon.exe). | |
| الاكتشاف | T1082 | اكتشاف معلومات النظام | LODEINFO بصمات أصابع الآلة المخترقة. |
| T1083 | اكتشاف الملفات والدليل | يمكن لـ LODEINFO الحصول على قوائم الملفات والدليل. | |
| T1057 | اكتشاف العملية | يمكن لـ LODEINFO سرد العمليات الجارية. | |
| T1033 | مالك النظام / اكتشاف المستخدم | يمكن لـ LODEINFO الحصول على اسم مستخدم الضحية. | |
| T1614.001 | اكتشاف موقع النظام: اكتشاف لغة النظام | يتحقق LODEINFO من لغة النظام للتحقق من أنها لا تعمل على جهاز معين لاستخدام اللغة الإنجليزية. | |
| مجموعة | T1560.001 | أرشفة البيانات المجمعة: أرشفة عبر الأداة المساعدة | لاحظنا أن مشغلي MirrorFace يقومون بأرشفة البيانات المجمعة باستخدام أرشيف RAR. |
| T1114.001 | جمع البريد الإلكتروني: جمع البريد الإلكتروني المحلي | لاحظنا أن مشغلي MirrorFace يجمعون رسائل البريد الإلكتروني المخزنة. | |
| T1056.001 | التقاط الإدخال: Keylogging | ينفذ LODEINFO keylogging. | |
| T1113 | القبض على الشاشة | يمكن لـ LODEINFO الحصول على لقطة شاشة. | |
| T1005 | البيانات من النظام المحلي | لاحظنا أن مشغلي MirrorFace يجمعون ويخرجون البيانات ذات الأهمية. | |
| القيادة والتحكم | T1071.001 | بروتوكول طبقة التطبيق: بروتوكولات الويب | يستخدم LODEINFO بروتوكول HTTP للتواصل مع خادم C&C الخاص به. |
| T1132.001 | ترميز البيانات: ترميز قياسي | يستخدم LODEINFO base64 الآمن لعناوين URL لتشفير حركة مرور C&C الخاصة به. | |
| T1573.001 | القناة المشفرة: التشفير المتماثل | يستخدم LODEINFO AES-256-CBC لتشفير حركة المرور C&C. | |
| T1001.001 | التعتيم على البيانات: البيانات غير المرغوب فيها | تعمل المرحلة الثانية من LODEINFO C&C على تحويل البيانات غير المرغوب فيها إلى البيانات المرسلة. | |
| exfiltration | T1041 | تسلل عبر قناة C2 | يمكن لـ LODEINFO إخراج الملفات إلى خادم القيادة والتحكم. |
| T1071.002 | بروتوكول طبقة التطبيق: بروتوكولات نقل الملفات | لاحظنا MirrorFace باستخدام بروتوكول النسخ الآمن (SCP) لسحب البيانات التي تم جمعها. | |
| التأثير | T1486 | تشفير البيانات من أجل التأثير | يمكن لـ LODEINFO تشفير الملفات على جهاز الضحية. |
