মিররফেস মুক্ত করা: জাপানি রাজনৈতিক সত্তাকে লক্ষ্য করে অপারেশন লিবারেলফেস

ESET গবেষকরা একটি স্পিয়ারফিশিং প্রচারাভিযান আবিষ্কার করেছেন, যা শুরু হয়েছে জাপানি হাউস অফ কাউন্সিলর নির্বাচন জুলাই 2022 এ, APT গ্রুপ দ্বারা যা ESET গবেষণা মিররফেস হিসাবে ট্র্যাক করে। অভিযান, যাকে আমরা অপারেশন লিবারেলফেস নাম দিয়েছি, জাপানী রাজনৈতিক সত্ত্বাকে লক্ষ্য করে; আমাদের তদন্তে জানা গেছে যে একটি নির্দিষ্ট রাজনৈতিক দলের সদস্যরা এই প্রচারে বিশেষ মনোযোগী ছিল। ESET গবেষণা এই প্রচারাভিযান এবং এর পিছনে APT গ্রুপ সম্পর্কে বিশদ বিবরণ প্রকাশ করেছে AVAR 2022 সম্মেলন এই মাসের শুরুতে।

MirrorFace হল একটি চীনা-ভাষী হুমকি অভিনেতা যা জাপান ভিত্তিক কোম্পানি এবং সংস্থাকে লক্ষ্য করে। যদিও কিছু জল্পনা রয়েছে যে এই হুমকি অভিনেতা APT10 এর সাথে সম্পর্কিত হতে পারে (ম্যাকনিকা, Kaspersky), ESET এটিকে কোনো পরিচিত APT গ্রুপে অ্যাট্রিবিউট করতে অক্ষম। অতএব, আমরা এটিকে একটি পৃথক সত্তা হিসাবে ট্র্যাক করছি যা আমরা মিররফেস নাম দিয়েছি। বিশেষ করে, MirrorFace এবং LODEINFO, এর মালিকানা ম্যালওয়্যার জাপানে লক্ষ্যবস্তুর বিরুদ্ধে একচেটিয়াভাবে ব্যবহৃত হয়েছে রিপোর্ট মিডিয়া, প্রতিরক্ষা-সম্পর্কিত কোম্পানি, থিঙ্ক ট্যাঙ্ক, কূটনৈতিক সংস্থা এবং একাডেমিক প্রতিষ্ঠানকে টার্গেট করা। MirrorFace-এর লক্ষ্য হল গুপ্তচরবৃত্তি এবং স্বার্থের ফাইলের বহিঃপ্রকাশ।

আমরা এই সূচকগুলির উপর ভিত্তি করে মিররফেসকে অপারেশন লিবারেলফেসকে দায়ী করি:

• আমাদের সর্বোত্তম জ্ঞান অনুসারে, LODEINFO ম্যালওয়্যারটি একচেটিয়াভাবে MirrorFace দ্বারা ব্যবহৃত হয়।
• অপারেশন লিবারেলফেস এর লক্ষ্যগুলি ঐতিহ্যগত মিররফেস টার্গেটিং এর সাথে সারিবদ্ধ।
• একটি দ্বিতীয় পর্যায়ের LODEINFO ম্যালওয়্যার নমুনা একটি C&C সার্ভারের সাথে যোগাযোগ করেছে যা আমরা MirrorFace পরিকাঠামোর অংশ হিসাবে অভ্যন্তরীণভাবে ট্র্যাক করি।

অপারেশন লিবারালফেস-এ পাঠানো স্পিয়ারফিশিং ইমেলগুলির মধ্যে একটি একটি নির্দিষ্ট জাপানি রাজনৈতিক দলের PR বিভাগ থেকে একটি অফিসিয়াল যোগাযোগ হিসাবে জাহির করেছিল, যেখানে হাউস অফ কাউন্সিলর নির্বাচন সম্পর্কিত একটি অনুরোধ রয়েছে এবং এটি একটি বিশিষ্ট রাজনীতিকের পক্ষে পাঠানো হয়েছিল৷ সমস্ত স্পিয়ারফিশিং ইমেলগুলিতে একটি দূষিত সংযুক্তি রয়েছে যা কার্যকর করার পরে আপস করা মেশিনে LODEINFO স্থাপন করা হয়েছিল৷

উপরন্তু, আমরা আবিষ্কার করেছি যে MirrorFace পূর্বে অনথিভুক্ত ম্যালওয়্যার ব্যবহার করেছে, যাকে আমরা MirrorStealer নাম দিয়েছি, তার লক্ষ্যের শংসাপত্র চুরি করতে। আমরা বিশ্বাস করি এই প্রথমবারের মতো এই ম্যালওয়্যারটি সর্বজনীনভাবে বর্ণনা করা হয়েছে৷

এই ব্লগপোস্টে, আমরা লোডেইনফোতে প্রেরিত C&C কমান্ড সহ আপস-পরবর্তী কার্যকলাপগুলিকে কভার করি। প্রভাবিত মেশিনে সম্পাদিত কিছু ক্রিয়াকলাপের উপর ভিত্তি করে, আমরা মনে করি যে MirrorFace অপারেটর একটি ম্যানুয়াল বা আধা-ম্যানুয়াল পদ্ধতিতে LODEINFO কে কমান্ড জারি করেছে।

প্রাথমিক অ্যাক্সেস

মিররফেস 29 জুন আক্রমণ শুরু করে^th, 2022, লক্ষ্যে একটি দূষিত সংযুক্তি সহ স্পিয়ারফিশিং ইমেল বিতরণ করা। ইমেইলের বিষয় ছিল এসএনএস用動画 拡散のお願い (গুগল অনুবাদ থেকে অনুবাদ: [গুরুত্বপূর্ণ] SNS-এর জন্য ভিডিও ছড়িয়ে দেওয়ার অনুরোধ). চিত্র 1 এবং চিত্র 2 এর বিষয়বস্তু দেখায়।

চিত্র 2. অনুবাদিত সংস্করণ

একটি জাপানি রাজনৈতিক দলের জনসংযোগ বিভাগ হওয়ার অভিপ্রায়ে, MirrorFace প্রাপকদের তাদের নিজস্ব সোশ্যাল মিডিয়া প্রোফাইলে (SNS – সোশ্যাল নেটওয়ার্ক সার্ভিস) সংযুক্ত ভিডিওগুলিকে পার্টির পিআরকে আরও শক্তিশালী করতে এবং হাউস অফ কাউন্সিলরদের বিজয় নিশ্চিত করতে বলেছে৷ উপরন্তু, ইমেল ভিডিওগুলির প্রকাশনার কৌশল সম্পর্কে স্পষ্ট নির্দেশনা প্রদান করে।

যেহেতু গত ১০ জুলাই হাউস অব কাউন্সিলর নির্বাচন অনুষ্ঠিত হয়^th, 2022, এই ইমেলটি স্পষ্টভাবে নির্দেশ করে যে MirrorFace রাজনৈতিক সত্তাকে আক্রমণ করার সুযোগ চেয়েছিল। এছাড়াও, ইমেলের নির্দিষ্ট বিষয়বস্তু নির্দেশ করে যে একটি নির্দিষ্ট রাজনৈতিক দলের সদস্যদের লক্ষ্যবস্তু করা হয়েছিল।

মিররফেস প্রচারাভিযানে আরেকটি স্পিয়ারফিশিং ইমেল ব্যবহার করেছে, যেখানে সংযুক্তির শিরোনাম ছিল 【参考】 220628発・選挙管理委員会宛文書（添書分）.exe (গুগল ট্রান্সলেট থেকে অনুবাদ: [রেফারেন্স] 220628 ডকুমেন্টস মন্ত্রনালয় থেকে নির্বাচন প্রশাসন কমিটি (পরিশিষ্ট)।. সংযুক্ত ডিকয় ডকুমেন্ট (চিত্র 3 এ দেখানো হয়েছে) হাউস অফ কাউন্সিলর নির্বাচনকেও উল্লেখ করে।

চিত্র 3. লক্ষ্যবস্তুতে দেখানো নথি

উভয় ক্ষেত্রেই, ইমেলগুলিতে প্রতারণামূলক নাম SNS用動画 拡散のお願い স্ব-নির্মিত WinRAR সংরক্ষণাগার আকারে দূষিত সংযুক্তি রয়েছে.exe (গুগল ট্রান্সলেট থেকে অনুবাদ: SNS.exe-এর জন্য ভিডিও ছড়িয়ে দেওয়ার অনুরোধ) এবং 【参考】220628発・選挙管理委員会宛文書（添書分）.exe (গুগল ট্রান্সলেট থেকে অনুবাদ: [রেফারেন্স] 220628 ডকুমেন্টস মন্ত্রনালয় থেকে নির্বাচন প্রশাসন কমিটি (পরিশিষ্ট)। যথাক্রমে.

এই EXE গুলি তাদের আর্কাইভ করা বিষয়বস্তু বের করে % টেম্প% ফোল্ডার বিশেষ করে, চারটি ফাইল বের করা হয়:

• K7SysMon.exe, K7 Computing Pvt Ltd দ্বারা তৈরি একটি সৌম্য অ্যাপ্লিকেশন যা DLL সার্চ অর্ডার হাইজ্যাকিংয়ের জন্য ঝুঁকিপূর্ণ
• K7SysMn1.dll, একটি দূষিত লোডার
• K7SysMon.Exe.db, এনক্রিপ্ট করা LODEINFO ম্যালওয়্যার
• একটি ছলনা দলিল

তারপর, লক্ষ্যকে প্রতারিত করতে এবং সৌম্য দেখানোর জন্য ছলনা নথি খোলা হয়। শেষ পদক্ষেপ হিসাবে, K7SysMon.exe কার্যকর করা হয় যা দূষিত লোডার লোড করে K7SysMn1.dll এটি বরাবর ড্রপ. অবশেষে, লোডার এর বিষয়বস্তু পড়ে K7SysMon.Exe.db, এটি ডিক্রিপ্ট করে, এবং তারপর এটি কার্যকর করে। নোট করুন এই পদ্ধতিটি ক্যাসপারস্কি দ্বারাও পর্যবেক্ষণ করা হয়েছিল এবং তাদের মধ্যে বর্ণনা করা হয়েছিল রিপোর্ট.

টুলসেট

এই বিভাগে, আমরা অপারেশন লিবারালফেসে ব্যবহৃত ম্যালওয়্যার মিররফেস বর্ণনা করি।

LODEINFO

LODEINFO হল একটি মিররফেস ব্যাকডোর যা ক্রমাগত বিকাশের অধীনে রয়েছে। JPCERT প্রথম সংস্করণ সম্পর্কে রিপোর্ট LODEINFO (v0.1.2), যা ডিসেম্বর 2019-এর কাছাকাছি উপস্থিত হয়েছিল; এর কার্যকারিতা স্ক্রিনশট ক্যাপচার, কীলগিং, প্রসেস হত্যা, ফাইল এক্সফিলট্রেটিং এবং অতিরিক্ত ফাইল এবং কমান্ড কার্যকর করতে দেয়। তারপর থেকে, আমরা এর প্রতিটি সংস্করণে প্রবর্তিত বেশ কয়েকটি পরিবর্তন লক্ষ্য করেছি। উদাহরণস্বরূপ, সংস্করণ 0.3.8 (যা আমরা 2020 সালের জুনে প্রথম শনাক্ত করেছি) কমান্ড র্যান্সম (যা ফাইল এবং ফোল্ডারগুলিকে এনক্রিপ্ট করে) এবং সংস্করণ 0.5.6 (যা আমরা জুলাই 2021-এ শনাক্ত করেছি) কমান্ড যোগ করে। কনফিগ, যা অপারেটরদের রেজিস্ট্রিতে সংরক্ষিত কনফিগারেশন পরিবর্তন করতে দেয়। উপরে উল্লিখিত JPCERT রিপোর্টিং ছাড়াও, LODEINFO ব্যাকডোরের একটি বিশদ বিশ্লেষণও এই বছরের শুরুতে প্রকাশিত হয়েছিল Kaspersky.

অপারেশন লিবারালফেস-এ, আমরা মিররফেস অপারেটরদের নিয়মিত LODEINFO এবং যাকে আমরা দ্বিতীয় পর্যায়ের LODEINFO ম্যালওয়্যার বলি উভয়ই ব্যবহার করে দেখেছি। দ্বিতীয় পর্যায়ের LODEINFO সামগ্রিক কার্যকারিতা দেখে নিয়মিত LODEINFO থেকে আলাদা করা যেতে পারে। বিশেষ করে, দ্বিতীয় পর্যায়ের LODEINFO বাস্তবায়িত কমান্ডের বাইরে PE বাইনারি এবং শেলকোড গ্রহণ করে এবং চালায়। উপরন্তু, দ্বিতীয় পর্যায়ের LODEINFO C&C কমান্ড প্রক্রিয়া করতে পারে কনফিগ, কিন্তু কমান্ডের কার্যকারিতা মুক্তিপণ অনুপস্থিত.

অবশেষে, C&C সার্ভার থেকে প্রাপ্ত ডেটা নিয়মিত LODEINFO এবং দ্বিতীয় পর্যায়ের একের মধ্যে আলাদা। দ্বিতীয় পর্যায়ের LODEINFO-এর জন্য, C&C সার্ভার এলোমেলো ওয়েব পৃষ্ঠার বিষয়বস্তুকে প্রকৃত ডেটার সাথে যুক্ত করে। চিত্র 4, চিত্র 5, এবং চিত্র 6 দেখুন প্রাপ্ত ডেটা পার্থক্য চিত্রিত করে। দ্বিতীয়-পর্যায়ের C&C থেকে প্রতিটি প্রাপ্ত ডেটা স্ট্রীমের জন্য প্রিপেন্ড করা কোড স্নিপেটটি আলাদা করে লক্ষ্য করুন।

চিত্র 4. প্রথম পর্যায়ের LODEINFO C&C থেকে প্রাপ্ত ডেটা

চিত্র 5. দ্বিতীয় পর্যায়ের C&C থেকে প্রাপ্ত ডেটা

চিত্র 6. দ্বিতীয় পর্যায়ের C&C থেকে প্রাপ্ত আরেকটি ডেটা স্ট্রিম

মিরর স্টিলার

মিররস্টিলার, অভ্যন্তরীণভাবে নামকরণ করা হয়েছে 31558_n.dll MirrorFace দ্বারা, একটি শংসাপত্র চুরিকারী. আমাদের জানামতে, এই ম্যালওয়্যারটি সর্বজনীনভাবে বর্ণনা করা হয়নি৷ সাধারণভাবে, MirrorStealer বিভিন্ন অ্যাপ্লিকেশন যেমন ব্রাউজার এবং ইমেল ক্লায়েন্ট থেকে শংসাপত্র চুরি করে। মজার বিষয় হল, টার্গেটেড অ্যাপ্লিকেশনগুলির মধ্যে একটি বেকি !, একটি ইমেল ক্লায়েন্ট যা বর্তমানে শুধুমাত্র জাপানে উপলব্ধ। সব চুরি করা শংসাপত্র সংরক্ষণ করা হয় %TEMP%31558.txt এবং যেহেতু মিররস্টিলারের চুরি করা ডেটা এক্সফিল্টার করার ক্ষমতা নেই, তাই এটি করা অন্যান্য ম্যালওয়ারের উপর নির্ভর করে।

আপস-পরবর্তী কার্যক্রম

আমাদের গবেষণার সময়, আমরা আপোসকৃত কম্পিউটারগুলিতে জারি করা কিছু কমান্ড পর্যবেক্ষণ করতে সক্ষম হয়েছি।

প্রাথমিক পরিবেশ পর্যবেক্ষণ

আপস করা মেশিনে LODEINFO চালু হলে এবং তারা সফলভাবে C&C সার্ভারের সাথে সংযুক্ত হয়ে গেলে, একজন অপারেটর কমান্ড জারি করা শুরু করে (চিত্র 7 দেখুন)।

চিত্র 7. LODEINFO এর মাধ্যমে মিররফেস অপারেটর দ্বারা প্রাথমিক পরিবেশ পর্যবেক্ষণ

প্রথমে, অপারেটর LODEINFO কমান্ডগুলির একটি জারি করেছে, ছাপানো, আপস করা মেশিনের পর্দা ক্যাপচার করতে. এটি অন্য একটি আদেশ দ্বারা অনুসরণ করা হয়েছিল, ls, বর্তমান ফোল্ডারের বিষয়বস্তু দেখতে যেখানে LODEINFO ছিল (যেমন, % টেম্প%) ঠিক তার পরেই, অপারেটরটি LODEINFO ব্যবহার করে নেটওয়ার্কের তথ্য প্রাপ্ত করে নেট ভিউ এবং নেট ভিউ/ডোমেইন. প্রথম কমান্ডটি নেটওয়ার্কের সাথে সংযুক্ত কম্পিউটারের তালিকা প্রদান করে, যখন দ্বিতীয়টি উপলব্ধ ডোমেনের তালিকা প্রদান করে।

শংসাপত্র এবং ব্রাউজার কুকি চুরি

এই মৌলিক তথ্য সংগ্রহ করে, অপারেটর পরবর্তী পর্যায়ে চলে গেছে (চিত্র 8 দেখুন)।

চিত্র 8. শংসাপত্র চুরিকারী স্থাপন করতে, শংসাপত্র এবং ব্রাউজার কুকিজ সংগ্রহ করতে এবং সেগুলিকে C&C সার্ভারে এক্সফিল্ট করার জন্য LODEINFO-তে নির্দেশাবলীর প্রবাহ পাঠানো হয়েছে

অপারেটর সাবকমান্ডের সাথে পাঠান LODEINFO কমান্ড জারি করেছে -স্মৃতি প্রদান করা মিরর স্টিলার আপোসকৃত মেশিনে ম্যালওয়্যার। সাবকমান্ড -স্মৃতি MirrorStealer এর মেমরিতে রাখার জন্য LODEINFO কে ইঙ্গিত করার জন্য ব্যবহার করা হয়েছিল, যার অর্থ মিররস্টিলার বাইনারি ডিস্কে কখনই ফেলে দেওয়া হয়নি। পরবর্তীকালে, আদেশ স্মৃতি জারি করা হয়. এই কমান্ডটি LODEINFO কে MirrorStealer নিতে, এটিকে স্পনডের মধ্যে ইনজেক্ট করার নির্দেশ দিয়েছে cmd.exe প্রক্রিয়া, এবং এটি চালান।

একবার MirrorStealer শংসাপত্রগুলি সংগ্রহ করেছিল এবং সেগুলি সংরক্ষণ করেছিল %temp%31558.txt, অপারেটর LODEINFO ব্যবহার করেছে শংসাপত্রগুলি এক্সফিল্টার করতে৷

অপারেটর ভিকটিমের ব্রাউজার কুকিতেও আগ্রহী ছিল। যাইহোক, MirrorStealer এগুলি সংগ্রহ করার ক্ষমতা রাখে না। অতএব, অপারেটর LODEINFO-এর মাধ্যমে কুকিজ ম্যানুয়ালি এক্সফিল্ট্রেট করেছে। প্রথমত, অপারেটর LODEINFO কমান্ড ব্যবহার করত Dir ফোল্ডারের বিষয়বস্তু তালিকাভুক্ত করতে %LocalAppData%GoogleChrome ব্যবহারকারীর ডেটা এবং %LocalAppData%MicrosoftEdgeUser ডেটা. তারপরে, অপারেটর সমস্ত চিহ্নিত কুকি ফাইলগুলিকে কপি করেছে৷ % টেম্প% ফোল্ডার এরপরে, অপারেটর LODEINFO কমান্ড ব্যবহার করে সমস্ত সংগৃহীত কুকি ফাইলগুলি বের করে দেয় recv. অবশেষে, অপারেটর থেকে অনুলিপি করা কুকি ফাইল মুছে দিয়েছে % টেম্প% ট্রেস মুছে ফেলার প্রচেষ্টায় ফোল্ডার।

নথি এবং ইমেল চুরি

পরবর্তী ধাপে, অপারেটর বিভিন্ন ধরণের নথিপত্রের সাথে সাথে সংরক্ষিত ইমেলগুলিকে উত্তোলন করেছে (চিত্র 9 দেখুন)।

চিত্র 9. আগ্রহের ফাইলগুলি বের করার জন্য LODEINFO-তে পাঠানো নির্দেশাবলীর প্রবাহ

এর জন্য, অপারেটর প্রথমে LODEINFO ব্যবহার করে WinRAR আর্কাইভার (rar.exe)। ব্যবহার rar.exe, অপারেটর ফোল্ডারগুলি থেকে 2022-01-01 এর পরে পরিবর্তিত আগ্রহের ফাইলগুলি সংগ্রহ এবং সংরক্ষণাগারভুক্ত করেছে %USERPROFILE% এবং C:$Recycle.Bin. অপারেটর এক্সটেনশন সহ এই ধরনের সমস্ত ফাইলে আগ্রহী ছিল।ডক*, .ppt*, .xls*, .jtd, .eml, .*xps, এবং .pdf.

লক্ষ্য করুন যে সাধারণ নথির প্রকারগুলি ছাড়াও, MirrorFace-এর সাথে ফাইলগুলিতেও আগ্রহী ছিল৷ .jtd এক্সটেনশন এটি জাপানি ওয়ার্ড প্রসেসরের নথি উপস্থাপন করে ইচিতারো JustSystems দ্বারা উন্নত.

আর্কাইভ তৈরি হয়ে গেলে, অপারেটর সিকিউর কপি প্রোটোকল (এসসিপি) ক্লায়েন্টকে পুটিং সুইট (pscp.exe) এবং তারপরে সার্ভারে সদ্য তৈরি করা RAR আর্কাইভ এক্সফিল্ট করতে এটি ব্যবহার করে 45.32.13[।]180. এই IP ঠিকানাটি পূর্ববর্তী MirrorFace কার্যকলাপে পরিলক্ষিত হয়নি এবং আমরা পর্যবেক্ষণ করেছি এমন কোনো LODEINFO ম্যালওয়্যারে C&C সার্ভার হিসাবে ব্যবহার করা হয়নি। সংরক্ষণাগার exfiltrated ছিল ঠিক পরে, অপারেটর মুছে ফেলা হয়েছে rar.exe, pscp.exe, এবং RAR সংরক্ষণাগার ক্রিয়াকলাপের চিহ্নগুলি পরিষ্কার করতে।

দ্বিতীয় পর্যায়ের LODEINFO স্থাপন

আমরা যে শেষ ধাপটি পর্যবেক্ষণ করেছি তা হল দ্বিতীয় পর্যায়ের LODEINFO প্রদান করা (চিত্র 10 দেখুন)।

চিত্র 10. দ্বিতীয় পর্যায়ের LODEINFO স্থাপনের জন্য LODEINFO-কে পাঠানো নির্দেশাবলীর প্রবাহ

অপারেটর নিম্নলিখিত বাইনারি বিতরণ করেছে: JSESPR.dll, JsSchHlp.exe, এবং vcruntime140.dll আপস করা মেশিনের কাছে। মূল JsSchHlp.exe JUSTSYSTEMS কর্পোরেশন (পূর্বে উল্লিখিত জাপানি ওয়ার্ড প্রসেসর, Ichitaro এর নির্মাতা) দ্বারা স্বাক্ষরিত একটি সৌম্য অ্যাপ্লিকেশন। যাইহোক, এই ক্ষেত্রে MirrorFace অপারেটর একটি পরিচিত মাইক্রোসফ্ট ডিজিটাল স্বাক্ষর যাচাইকরণের অপব্যবহার করেছে সমস্যা এবং RC4 এনক্রিপ্ট করা ডেটা যুক্ত করেছে JsSchHlp.exe ডিজিটাল স্বাক্ষর. উল্লিখিত সমস্যার কারণে, উইন্ডোজ এখনও পরিবর্তিত বিবেচনা করে JsSchHlp.exe বৈধভাবে স্বাক্ষর করতে হবে।

JsSchHlp.exe এছাড়াও DLL সাইড-লোডিং এর জন্য সংবেদনশীল। অতএব, মৃত্যুদন্ডের উপর, রোপণ JSESPR.dll লোড করা হয় (চিত্র 11 দেখুন)।

চিত্র 11. দ্বিতীয় পর্যায়ের LODEINFO এর কার্যকরী প্রবাহ

JSESPR.dll একটি দূষিত লোডার যা থেকে সংযুক্ত পেলোড পড়ে JsSchHlp.exe, এটি ডিক্রিপ্ট করে এবং এটি চালায়। পেলোড হল দ্বিতীয়-পর্যায়ের LODEINFO, এবং একবার চালু হলে, অপারেটর নিয়মিত LODEINFO ব্যবহার করে দ্বিতীয় পর্যায়ের একের জন্য অধ্যবসায় সেট করে। বিশেষ করে, অপারেটর চালানো reg.exe নামের একটি মান যোগ করার জন্য ইউটিলিটি JsSchHlp থেকে চালান রেজিস্ট্রি কী পথ ধরে রাখে JsSchHlp.exe.

যাইহোক, আমাদের কাছে মনে হচ্ছে অপারেটর দ্বিতীয় পর্যায়ের LODEINFO-কে C&C সার্ভারের সাথে সঠিকভাবে যোগাযোগ করতে পারেনি। অতএব, দ্বিতীয় পর্যায়ের LODEINFO ব্যবহার করে অপারেটরের পরবর্তী কোন পদক্ষেপ আমাদের কাছে অজানা থেকে যায়।

আকর্ষণীয় পর্যবেক্ষণ

তদন্তের সময়, আমরা কয়েকটি আকর্ষণীয় পর্যবেক্ষণ করেছি। তাদের মধ্যে একটি হল যে অপারেটর LODEINFO-তে কমান্ড জারি করার সময় কয়েকটি ত্রুটি এবং টাইপ করেছে। উদাহরণস্বরূপ, অপারেটর স্ট্রিং পাঠিয়েছে cmd/c dir “c:use” LODEINFO-তে, যা সম্ভবত হওয়ার কথা ছিল cmd/c dir “c:users”.

এটি প্রস্তাব করে যে অপারেটর একটি ম্যানুয়াল বা আধা-ম্যানুয়াল পদ্ধতিতে LODEINFO-তে কমান্ড জারি করছে।

আমাদের পরবর্তী পর্যবেক্ষণ হল যে যদিও অপারেটর আপসের চিহ্নগুলি মুছে ফেলার জন্য কয়েকটি ক্লিনআপ করেছে, অপারেটর মুছতে ভুলে গেছে %temp%31558.txt - চুরি করা শংসাপত্র ধারণকারী লগ. এইভাবে, অন্তত এই ট্রেসটি আপোসকৃত মেশিনে রয়ে গেছে এবং এটি আমাদের দেখায় যে অপারেটরটি পরিষ্কার করার প্রক্রিয়াতে পুঙ্খানুপুঙ্খ ছিল না।

উপসংহার

মিররফেস জাপানে উচ্চ-মূল্যের লক্ষ্যগুলির জন্য লক্ষ্য চালিয়ে যাচ্ছে। অপারেশন লিবারেলফেস-এ, এটি বিশেষভাবে রাজনৈতিক সত্তাকে লক্ষ্য করে তার সুবিধার জন্য তৎকালীন আসন্ন কাউন্সিলর নির্বাচন ব্যবহার করে। আরও মজার বিষয় হল, আমাদের অনুসন্ধানগুলি নির্দেশ করে যে মিররফেস বিশেষ করে একটি নির্দিষ্ট রাজনৈতিক দলের সদস্যদের উপর দৃষ্টি নিবদ্ধ করে।

অপারেশন লিবারালফেস তদন্তের সময়, আমরা আরও মিররফেস টিটিপি উন্মোচন করতে সক্ষম হয়েছি, যেমন অতিরিক্ত ম্যালওয়্যার এবং সরঞ্জামগুলির স্থাপনা এবং ব্যবহার যাতে ক্ষতিগ্রস্তদের কাছ থেকে মূল্যবান ডেটা সংগ্রহ এবং উত্তোলন করা যায়। তদুপরি, আমাদের তদন্তে দেখা গেছে যে মিররফেস অপারেটররা কিছুটা অসাবধান, চিহ্ন রেখে যাচ্ছে এবং বিভিন্ন ভুল করছে।

আইওসি

নথি পত্র

নেটওয়ার্ক

মিটার ATT এবং CK কৌশল

এই টেবিল ব্যবহার করে নির্মিত হয়েছিল 12 সংস্করণ MITER ATT&CK ফ্রেমওয়ার্কের.

উল্লেখ্য যে যদিও এই ব্লগপোস্টটি LODEINFO ক্ষমতার সম্পূর্ণ ওভারভিউ প্রদান করে না কারণ এই তথ্যটি ইতিমধ্যেই অন্যান্য প্রকাশনায় পাওয়া যায়, নীচের MITER ATT&CK সারণীতে এর সাথে সম্পর্কিত সমস্ত কৌশল রয়েছে।