ESET গবেষকরা হাউস অফ কাউন্সিলর নির্বাচনের কয়েক সপ্তাহ আগে জাপানি রাজনৈতিক সত্ত্বাকে লক্ষ্য করে একটি স্পিয়ারফিশিং প্রচারাভিযান আবিষ্কার করেছিলেন এবং প্রক্রিয়াটিতে পূর্বে বর্ণিত একটি মিররফেস শংসাপত্র চুরির সন্ধান করেছিলেন
ESET গবেষকরা একটি স্পিয়ারফিশিং প্রচারাভিযান আবিষ্কার করেছেন, যা শুরু হয়েছে জাপানি হাউস অফ কাউন্সিলর নির্বাচন জুলাই 2022 এ, APT গ্রুপ দ্বারা যা ESET গবেষণা মিররফেস হিসাবে ট্র্যাক করে। অভিযান, যাকে আমরা অপারেশন লিবারেলফেস নাম দিয়েছি, জাপানী রাজনৈতিক সত্ত্বাকে লক্ষ্য করে; আমাদের তদন্তে জানা গেছে যে একটি নির্দিষ্ট রাজনৈতিক দলের সদস্যরা এই প্রচারে বিশেষ মনোযোগী ছিল। ESET গবেষণা এই প্রচারাভিযান এবং এর পিছনে APT গ্রুপ সম্পর্কে বিশদ বিবরণ প্রকাশ করেছে AVAR 2022 সম্মেলন এই মাসের শুরুতে।
- 2022 সালের জুনের শেষে, MirrorFace একটি প্রচারাভিযান শুরু করেছে, যেটিকে আমরা অপারেশন লিবারেলফেস নাম দিয়েছি, যা জাপানি রাজনৈতিক সত্তাকে লক্ষ্য করে।
- গ্রুপের ফ্ল্যাগশিপ ব্যাকডোর LODEINFO সম্বলিত স্পিয়ারফিশিং ইমেল বার্তাগুলি লক্ষ্যগুলিতে পাঠানো হয়েছিল।
- LODEINFO অতিরিক্ত ম্যালওয়্যার সরবরাহ করতে, শিকারের শংসাপত্রগুলি বের করতে এবং শিকারের নথি এবং ইমেল চুরি করতে ব্যবহার করা হয়েছিল।
- আমরা মিররস্টিলার নামে পূর্বে বর্ণনা না করা শংসাপত্র চুরিকারী অপারেশন লিবারালফেসে ব্যবহার করা হয়েছিল।
- ESET রিসার্চ আপস-পরবর্তী ক্রিয়াকলাপগুলির একটি বিশ্লেষণ করেছে, যা পরামর্শ দেয় যে পর্যবেক্ষণ করা ক্রিয়াগুলি ম্যানুয়াল বা আধা-ম্যানুয়াল পদ্ধতিতে সম্পাদিত হয়েছিল।
- এই প্রচারাভিযান সম্পর্কে বিস্তারিত শেয়ার করা হয়েছে AVAR 2022 সম্মেলন.
MirrorFace হল একটি চীনা-ভাষী হুমকি অভিনেতা যা জাপান ভিত্তিক কোম্পানি এবং সংস্থাকে লক্ষ্য করে। যদিও কিছু জল্পনা রয়েছে যে এই হুমকি অভিনেতা APT10 এর সাথে সম্পর্কিত হতে পারে (ম্যাকনিকা, Kaspersky), ESET এটিকে কোনো পরিচিত APT গ্রুপে অ্যাট্রিবিউট করতে অক্ষম। অতএব, আমরা এটিকে একটি পৃথক সত্তা হিসাবে ট্র্যাক করছি যা আমরা মিররফেস নাম দিয়েছি। বিশেষ করে, MirrorFace এবং LODEINFO, এর মালিকানা ম্যালওয়্যার জাপানে লক্ষ্যবস্তুর বিরুদ্ধে একচেটিয়াভাবে ব্যবহৃত হয়েছে রিপোর্ট মিডিয়া, প্রতিরক্ষা-সম্পর্কিত কোম্পানি, থিঙ্ক ট্যাঙ্ক, কূটনৈতিক সংস্থা এবং একাডেমিক প্রতিষ্ঠানকে টার্গেট করা। MirrorFace-এর লক্ষ্য হল গুপ্তচরবৃত্তি এবং স্বার্থের ফাইলের বহিঃপ্রকাশ।
আমরা এই সূচকগুলির উপর ভিত্তি করে মিররফেসকে অপারেশন লিবারেলফেসকে দায়ী করি:
- আমাদের সর্বোত্তম জ্ঞান অনুসারে, LODEINFO ম্যালওয়্যারটি একচেটিয়াভাবে MirrorFace দ্বারা ব্যবহৃত হয়।
- অপারেশন লিবারেলফেস এর লক্ষ্যগুলি ঐতিহ্যগত মিররফেস টার্গেটিং এর সাথে সারিবদ্ধ।
- একটি দ্বিতীয় পর্যায়ের LODEINFO ম্যালওয়্যার নমুনা একটি C&C সার্ভারের সাথে যোগাযোগ করেছে যা আমরা MirrorFace পরিকাঠামোর অংশ হিসাবে অভ্যন্তরীণভাবে ট্র্যাক করি।
অপারেশন লিবারালফেস-এ পাঠানো স্পিয়ারফিশিং ইমেলগুলির মধ্যে একটি একটি নির্দিষ্ট জাপানি রাজনৈতিক দলের PR বিভাগ থেকে একটি অফিসিয়াল যোগাযোগ হিসাবে জাহির করেছিল, যেখানে হাউস অফ কাউন্সিলর নির্বাচন সম্পর্কিত একটি অনুরোধ রয়েছে এবং এটি একটি বিশিষ্ট রাজনীতিকের পক্ষে পাঠানো হয়েছিল৷ সমস্ত স্পিয়ারফিশিং ইমেলগুলিতে একটি দূষিত সংযুক্তি রয়েছে যা কার্যকর করার পরে আপস করা মেশিনে LODEINFO স্থাপন করা হয়েছিল৷
উপরন্তু, আমরা আবিষ্কার করেছি যে MirrorFace পূর্বে অনথিভুক্ত ম্যালওয়্যার ব্যবহার করেছে, যাকে আমরা MirrorStealer নাম দিয়েছি, তার লক্ষ্যের শংসাপত্র চুরি করতে। আমরা বিশ্বাস করি এই প্রথমবারের মতো এই ম্যালওয়্যারটি সর্বজনীনভাবে বর্ণনা করা হয়েছে৷
এই ব্লগপোস্টে, আমরা লোডেইনফোতে প্রেরিত C&C কমান্ড সহ আপস-পরবর্তী কার্যকলাপগুলিকে কভার করি। প্রভাবিত মেশিনে সম্পাদিত কিছু ক্রিয়াকলাপের উপর ভিত্তি করে, আমরা মনে করি যে MirrorFace অপারেটর একটি ম্যানুয়াল বা আধা-ম্যানুয়াল পদ্ধতিতে LODEINFO কে কমান্ড জারি করেছে।
প্রাথমিক অ্যাক্সেস
মিররফেস 29 জুন আক্রমণ শুরু করেth, 2022, লক্ষ্যে একটি দূষিত সংযুক্তি সহ স্পিয়ারফিশিং ইমেল বিতরণ করা। ইমেইলের বিষয় ছিল এসএনএস用動画 拡散のお願い (গুগল অনুবাদ থেকে অনুবাদ: [গুরুত্বপূর্ণ] SNS-এর জন্য ভিডিও ছড়িয়ে দেওয়ার অনুরোধ). চিত্র 1 এবং চিত্র 2 এর বিষয়বস্তু দেখায়।
একটি জাপানি রাজনৈতিক দলের জনসংযোগ বিভাগ হওয়ার অভিপ্রায়ে, MirrorFace প্রাপকদের তাদের নিজস্ব সোশ্যাল মিডিয়া প্রোফাইলে (SNS – সোশ্যাল নেটওয়ার্ক সার্ভিস) সংযুক্ত ভিডিওগুলিকে পার্টির পিআরকে আরও শক্তিশালী করতে এবং হাউস অফ কাউন্সিলরদের বিজয় নিশ্চিত করতে বলেছে৷ উপরন্তু, ইমেল ভিডিওগুলির প্রকাশনার কৌশল সম্পর্কে স্পষ্ট নির্দেশনা প্রদান করে।
যেহেতু গত ১০ জুলাই হাউস অব কাউন্সিলর নির্বাচন অনুষ্ঠিত হয়th, 2022, এই ইমেলটি স্পষ্টভাবে নির্দেশ করে যে MirrorFace রাজনৈতিক সত্তাকে আক্রমণ করার সুযোগ চেয়েছিল। এছাড়াও, ইমেলের নির্দিষ্ট বিষয়বস্তু নির্দেশ করে যে একটি নির্দিষ্ট রাজনৈতিক দলের সদস্যদের লক্ষ্যবস্তু করা হয়েছিল।
মিররফেস প্রচারাভিযানে আরেকটি স্পিয়ারফিশিং ইমেল ব্যবহার করেছে, যেখানে সংযুক্তির শিরোনাম ছিল 【参考】 220628発・選挙管理委員会宛文書(添書分).exe (গুগল ট্রান্সলেট থেকে অনুবাদ: [রেফারেন্স] 220628 ডকুমেন্টস মন্ত্রনালয় থেকে নির্বাচন প্রশাসন কমিটি (পরিশিষ্ট)।. সংযুক্ত ডিকয় ডকুমেন্ট (চিত্র 3 এ দেখানো হয়েছে) হাউস অফ কাউন্সিলর নির্বাচনকেও উল্লেখ করে।
উভয় ক্ষেত্রেই, ইমেলগুলিতে প্রতারণামূলক নাম SNS用動画 拡散のお願い স্ব-নির্মিত WinRAR সংরক্ষণাগার আকারে দূষিত সংযুক্তি রয়েছে.exe (গুগল ট্রান্সলেট থেকে অনুবাদ: SNS.exe-এর জন্য ভিডিও ছড়িয়ে দেওয়ার অনুরোধ) এবং 【参考】220628発・選挙管理委員会宛文書(添書分).exe (গুগল ট্রান্সলেট থেকে অনুবাদ: [রেফারেন্স] 220628 ডকুমেন্টস মন্ত্রনালয় থেকে নির্বাচন প্রশাসন কমিটি (পরিশিষ্ট)। যথাক্রমে.
এই EXE গুলি তাদের আর্কাইভ করা বিষয়বস্তু বের করে % টেম্প% ফোল্ডার বিশেষ করে, চারটি ফাইল বের করা হয়:
- K7SysMon.exe, K7 Computing Pvt Ltd দ্বারা তৈরি একটি সৌম্য অ্যাপ্লিকেশন যা DLL সার্চ অর্ডার হাইজ্যাকিংয়ের জন্য ঝুঁকিপূর্ণ
- K7SysMn1.dll, একটি দূষিত লোডার
- K7SysMon.Exe.db, এনক্রিপ্ট করা LODEINFO ম্যালওয়্যার
- একটি ছলনা দলিল
তারপর, লক্ষ্যকে প্রতারিত করতে এবং সৌম্য দেখানোর জন্য ছলনা নথি খোলা হয়। শেষ পদক্ষেপ হিসাবে, K7SysMon.exe কার্যকর করা হয় যা দূষিত লোডার লোড করে K7SysMn1.dll এটি বরাবর ড্রপ. অবশেষে, লোডার এর বিষয়বস্তু পড়ে K7SysMon.Exe.db, এটি ডিক্রিপ্ট করে, এবং তারপর এটি কার্যকর করে। নোট করুন এই পদ্ধতিটি ক্যাসপারস্কি দ্বারাও পর্যবেক্ষণ করা হয়েছিল এবং তাদের মধ্যে বর্ণনা করা হয়েছিল রিপোর্ট.
টুলসেট
এই বিভাগে, আমরা অপারেশন লিবারালফেসে ব্যবহৃত ম্যালওয়্যার মিররফেস বর্ণনা করি।
LODEINFO
LODEINFO হল একটি মিররফেস ব্যাকডোর যা ক্রমাগত বিকাশের অধীনে রয়েছে। JPCERT প্রথম সংস্করণ সম্পর্কে রিপোর্ট LODEINFO (v0.1.2), যা ডিসেম্বর 2019-এর কাছাকাছি উপস্থিত হয়েছিল; এর কার্যকারিতা স্ক্রিনশট ক্যাপচার, কীলগিং, প্রসেস হত্যা, ফাইল এক্সফিলট্রেটিং এবং অতিরিক্ত ফাইল এবং কমান্ড কার্যকর করতে দেয়। তারপর থেকে, আমরা এর প্রতিটি সংস্করণে প্রবর্তিত বেশ কয়েকটি পরিবর্তন লক্ষ্য করেছি। উদাহরণস্বরূপ, সংস্করণ 0.3.8 (যা আমরা 2020 সালের জুনে প্রথম শনাক্ত করেছি) কমান্ড র্যান্সম (যা ফাইল এবং ফোল্ডারগুলিকে এনক্রিপ্ট করে) এবং সংস্করণ 0.5.6 (যা আমরা জুলাই 2021-এ শনাক্ত করেছি) কমান্ড যোগ করে। কনফিগ, যা অপারেটরদের রেজিস্ট্রিতে সংরক্ষিত কনফিগারেশন পরিবর্তন করতে দেয়। উপরে উল্লিখিত JPCERT রিপোর্টিং ছাড়াও, LODEINFO ব্যাকডোরের একটি বিশদ বিশ্লেষণও এই বছরের শুরুতে প্রকাশিত হয়েছিল Kaspersky.
অপারেশন লিবারালফেস-এ, আমরা মিররফেস অপারেটরদের নিয়মিত LODEINFO এবং যাকে আমরা দ্বিতীয় পর্যায়ের LODEINFO ম্যালওয়্যার বলি উভয়ই ব্যবহার করে দেখেছি। দ্বিতীয় পর্যায়ের LODEINFO সামগ্রিক কার্যকারিতা দেখে নিয়মিত LODEINFO থেকে আলাদা করা যেতে পারে। বিশেষ করে, দ্বিতীয় পর্যায়ের LODEINFO বাস্তবায়িত কমান্ডের বাইরে PE বাইনারি এবং শেলকোড গ্রহণ করে এবং চালায়। উপরন্তু, দ্বিতীয় পর্যায়ের LODEINFO C&C কমান্ড প্রক্রিয়া করতে পারে কনফিগ, কিন্তু কমান্ডের কার্যকারিতা মুক্তিপণ অনুপস্থিত.
অবশেষে, C&C সার্ভার থেকে প্রাপ্ত ডেটা নিয়মিত LODEINFO এবং দ্বিতীয় পর্যায়ের একের মধ্যে আলাদা। দ্বিতীয় পর্যায়ের LODEINFO-এর জন্য, C&C সার্ভার এলোমেলো ওয়েব পৃষ্ঠার বিষয়বস্তুকে প্রকৃত ডেটার সাথে যুক্ত করে। চিত্র 4, চিত্র 5, এবং চিত্র 6 দেখুন প্রাপ্ত ডেটা পার্থক্য চিত্রিত করে। দ্বিতীয়-পর্যায়ের C&C থেকে প্রতিটি প্রাপ্ত ডেটা স্ট্রীমের জন্য প্রিপেন্ড করা কোড স্নিপেটটি আলাদা করে লক্ষ্য করুন।
মিরর স্টিলার
মিররস্টিলার, অভ্যন্তরীণভাবে নামকরণ করা হয়েছে 31558_n.dll MirrorFace দ্বারা, একটি শংসাপত্র চুরিকারী. আমাদের জানামতে, এই ম্যালওয়্যারটি সর্বজনীনভাবে বর্ণনা করা হয়নি৷ সাধারণভাবে, MirrorStealer বিভিন্ন অ্যাপ্লিকেশন যেমন ব্রাউজার এবং ইমেল ক্লায়েন্ট থেকে শংসাপত্র চুরি করে। মজার বিষয় হল, টার্গেটেড অ্যাপ্লিকেশনগুলির মধ্যে একটি বেকি !, একটি ইমেল ক্লায়েন্ট যা বর্তমানে শুধুমাত্র জাপানে উপলব্ধ। সব চুরি করা শংসাপত্র সংরক্ষণ করা হয় %TEMP%31558.txt এবং যেহেতু মিররস্টিলারের চুরি করা ডেটা এক্সফিল্টার করার ক্ষমতা নেই, তাই এটি করা অন্যান্য ম্যালওয়ারের উপর নির্ভর করে।
আপস-পরবর্তী কার্যক্রম
আমাদের গবেষণার সময়, আমরা আপোসকৃত কম্পিউটারগুলিতে জারি করা কিছু কমান্ড পর্যবেক্ষণ করতে সক্ষম হয়েছি।
প্রাথমিক পরিবেশ পর্যবেক্ষণ
আপস করা মেশিনে LODEINFO চালু হলে এবং তারা সফলভাবে C&C সার্ভারের সাথে সংযুক্ত হয়ে গেলে, একজন অপারেটর কমান্ড জারি করা শুরু করে (চিত্র 7 দেখুন)।
প্রথমে, অপারেটর LODEINFO কমান্ডগুলির একটি জারি করেছে, ছাপানো, আপস করা মেশিনের পর্দা ক্যাপচার করতে. এটি অন্য একটি আদেশ দ্বারা অনুসরণ করা হয়েছিল, ls, বর্তমান ফোল্ডারের বিষয়বস্তু দেখতে যেখানে LODEINFO ছিল (যেমন, % টেম্প%) ঠিক তার পরেই, অপারেটরটি LODEINFO ব্যবহার করে নেটওয়ার্কের তথ্য প্রাপ্ত করে নেট ভিউ এবং নেট ভিউ/ডোমেইন. প্রথম কমান্ডটি নেটওয়ার্কের সাথে সংযুক্ত কম্পিউটারের তালিকা প্রদান করে, যখন দ্বিতীয়টি উপলব্ধ ডোমেনের তালিকা প্রদান করে।
শংসাপত্র এবং ব্রাউজার কুকি চুরি
এই মৌলিক তথ্য সংগ্রহ করে, অপারেটর পরবর্তী পর্যায়ে চলে গেছে (চিত্র 8 দেখুন)।
অপারেটর সাবকমান্ডের সাথে পাঠান LODEINFO কমান্ড জারি করেছে -স্মৃতি প্রদান করা মিরর স্টিলার আপোসকৃত মেশিনে ম্যালওয়্যার। সাবকমান্ড -স্মৃতি MirrorStealer এর মেমরিতে রাখার জন্য LODEINFO কে ইঙ্গিত করার জন্য ব্যবহার করা হয়েছিল, যার অর্থ মিররস্টিলার বাইনারি ডিস্কে কখনই ফেলে দেওয়া হয়নি। পরবর্তীকালে, আদেশ স্মৃতি জারি করা হয়. এই কমান্ডটি LODEINFO কে MirrorStealer নিতে, এটিকে স্পনডের মধ্যে ইনজেক্ট করার নির্দেশ দিয়েছে cmd.exe প্রক্রিয়া, এবং এটি চালান।
একবার MirrorStealer শংসাপত্রগুলি সংগ্রহ করেছিল এবং সেগুলি সংরক্ষণ করেছিল %temp%31558.txt, অপারেটর LODEINFO ব্যবহার করেছে শংসাপত্রগুলি এক্সফিল্টার করতে৷
অপারেটর ভিকটিমের ব্রাউজার কুকিতেও আগ্রহী ছিল। যাইহোক, MirrorStealer এগুলি সংগ্রহ করার ক্ষমতা রাখে না। অতএব, অপারেটর LODEINFO-এর মাধ্যমে কুকিজ ম্যানুয়ালি এক্সফিল্ট্রেট করেছে। প্রথমত, অপারেটর LODEINFO কমান্ড ব্যবহার করত Dir ফোল্ডারের বিষয়বস্তু তালিকাভুক্ত করতে %LocalAppData%GoogleChrome ব্যবহারকারীর ডেটা এবং %LocalAppData%MicrosoftEdgeUser ডেটা. তারপরে, অপারেটর সমস্ত চিহ্নিত কুকি ফাইলগুলিকে কপি করেছে৷ % টেম্প% ফোল্ডার এরপরে, অপারেটর LODEINFO কমান্ড ব্যবহার করে সমস্ত সংগৃহীত কুকি ফাইলগুলি বের করে দেয় recv. অবশেষে, অপারেটর থেকে অনুলিপি করা কুকি ফাইল মুছে দিয়েছে % টেম্প% ট্রেস মুছে ফেলার প্রচেষ্টায় ফোল্ডার।
নথি এবং ইমেল চুরি
পরবর্তী ধাপে, অপারেটর বিভিন্ন ধরণের নথিপত্রের সাথে সাথে সংরক্ষিত ইমেলগুলিকে উত্তোলন করেছে (চিত্র 9 দেখুন)।
এর জন্য, অপারেটর প্রথমে LODEINFO ব্যবহার করে WinRAR আর্কাইভার (rar.exe)। ব্যবহার rar.exe, অপারেটর ফোল্ডারগুলি থেকে 2022-01-01 এর পরে পরিবর্তিত আগ্রহের ফাইলগুলি সংগ্রহ এবং সংরক্ষণাগারভুক্ত করেছে %USERPROFILE% এবং C:$Recycle.Bin. অপারেটর এক্সটেনশন সহ এই ধরনের সমস্ত ফাইলে আগ্রহী ছিল।ডক*, .ppt*, .xls*, .jtd, .eml, .*xps, এবং .pdf.
লক্ষ্য করুন যে সাধারণ নথির প্রকারগুলি ছাড়াও, MirrorFace-এর সাথে ফাইলগুলিতেও আগ্রহী ছিল৷ .jtd এক্সটেনশন এটি জাপানি ওয়ার্ড প্রসেসরের নথি উপস্থাপন করে ইচিতারো JustSystems দ্বারা উন্নত.
আর্কাইভ তৈরি হয়ে গেলে, অপারেটর সিকিউর কপি প্রোটোকল (এসসিপি) ক্লায়েন্টকে পুটিং সুইট (pscp.exe) এবং তারপরে সার্ভারে সদ্য তৈরি করা RAR আর্কাইভ এক্সফিল্ট করতে এটি ব্যবহার করে 45.32.13[।]180. এই IP ঠিকানাটি পূর্ববর্তী MirrorFace কার্যকলাপে পরিলক্ষিত হয়নি এবং আমরা পর্যবেক্ষণ করেছি এমন কোনো LODEINFO ম্যালওয়্যারে C&C সার্ভার হিসাবে ব্যবহার করা হয়নি। সংরক্ষণাগার exfiltrated ছিল ঠিক পরে, অপারেটর মুছে ফেলা হয়েছে rar.exe, pscp.exe, এবং RAR সংরক্ষণাগার ক্রিয়াকলাপের চিহ্নগুলি পরিষ্কার করতে।
দ্বিতীয় পর্যায়ের LODEINFO স্থাপন
আমরা যে শেষ ধাপটি পর্যবেক্ষণ করেছি তা হল দ্বিতীয় পর্যায়ের LODEINFO প্রদান করা (চিত্র 10 দেখুন)।
অপারেটর নিম্নলিখিত বাইনারি বিতরণ করেছে: JSESPR.dll, JsSchHlp.exe, এবং vcruntime140.dll আপস করা মেশিনের কাছে। মূল JsSchHlp.exe JUSTSYSTEMS কর্পোরেশন (পূর্বে উল্লিখিত জাপানি ওয়ার্ড প্রসেসর, Ichitaro এর নির্মাতা) দ্বারা স্বাক্ষরিত একটি সৌম্য অ্যাপ্লিকেশন। যাইহোক, এই ক্ষেত্রে MirrorFace অপারেটর একটি পরিচিত মাইক্রোসফ্ট ডিজিটাল স্বাক্ষর যাচাইকরণের অপব্যবহার করেছে সমস্যা এবং RC4 এনক্রিপ্ট করা ডেটা যুক্ত করেছে JsSchHlp.exe ডিজিটাল স্বাক্ষর. উল্লিখিত সমস্যার কারণে, উইন্ডোজ এখনও পরিবর্তিত বিবেচনা করে JsSchHlp.exe বৈধভাবে স্বাক্ষর করতে হবে।
JsSchHlp.exe এছাড়াও DLL সাইড-লোডিং এর জন্য সংবেদনশীল। অতএব, মৃত্যুদন্ডের উপর, রোপণ JSESPR.dll লোড করা হয় (চিত্র 11 দেখুন)।
JSESPR.dll একটি দূষিত লোডার যা থেকে সংযুক্ত পেলোড পড়ে JsSchHlp.exe, এটি ডিক্রিপ্ট করে এবং এটি চালায়। পেলোড হল দ্বিতীয়-পর্যায়ের LODEINFO, এবং একবার চালু হলে, অপারেটর নিয়মিত LODEINFO ব্যবহার করে দ্বিতীয় পর্যায়ের একের জন্য অধ্যবসায় সেট করে। বিশেষ করে, অপারেটর চালানো reg.exe নামের একটি মান যোগ করার জন্য ইউটিলিটি JsSchHlp থেকে চালান রেজিস্ট্রি কী পথ ধরে রাখে JsSchHlp.exe.
যাইহোক, আমাদের কাছে মনে হচ্ছে অপারেটর দ্বিতীয় পর্যায়ের LODEINFO-কে C&C সার্ভারের সাথে সঠিকভাবে যোগাযোগ করতে পারেনি। অতএব, দ্বিতীয় পর্যায়ের LODEINFO ব্যবহার করে অপারেটরের পরবর্তী কোন পদক্ষেপ আমাদের কাছে অজানা থেকে যায়।
আকর্ষণীয় পর্যবেক্ষণ
তদন্তের সময়, আমরা কয়েকটি আকর্ষণীয় পর্যবেক্ষণ করেছি। তাদের মধ্যে একটি হল যে অপারেটর LODEINFO-তে কমান্ড জারি করার সময় কয়েকটি ত্রুটি এবং টাইপ করেছে। উদাহরণস্বরূপ, অপারেটর স্ট্রিং পাঠিয়েছে cmd/c dir “c:use” LODEINFO-তে, যা সম্ভবত হওয়ার কথা ছিল cmd/c dir “c:users”.
এটি প্রস্তাব করে যে অপারেটর একটি ম্যানুয়াল বা আধা-ম্যানুয়াল পদ্ধতিতে LODEINFO-তে কমান্ড জারি করছে।
আমাদের পরবর্তী পর্যবেক্ষণ হল যে যদিও অপারেটর আপসের চিহ্নগুলি মুছে ফেলার জন্য কয়েকটি ক্লিনআপ করেছে, অপারেটর মুছতে ভুলে গেছে %temp%31558.txt - চুরি করা শংসাপত্র ধারণকারী লগ. এইভাবে, অন্তত এই ট্রেসটি আপোসকৃত মেশিনে রয়ে গেছে এবং এটি আমাদের দেখায় যে অপারেটরটি পরিষ্কার করার প্রক্রিয়াতে পুঙ্খানুপুঙ্খ ছিল না।
উপসংহার
মিররফেস জাপানে উচ্চ-মূল্যের লক্ষ্যগুলির জন্য লক্ষ্য চালিয়ে যাচ্ছে। অপারেশন লিবারেলফেস-এ, এটি বিশেষভাবে রাজনৈতিক সত্তাকে লক্ষ্য করে তার সুবিধার জন্য তৎকালীন আসন্ন কাউন্সিলর নির্বাচন ব্যবহার করে। আরও মজার বিষয় হল, আমাদের অনুসন্ধানগুলি নির্দেশ করে যে মিররফেস বিশেষ করে একটি নির্দিষ্ট রাজনৈতিক দলের সদস্যদের উপর দৃষ্টি নিবদ্ধ করে।
অপারেশন লিবারালফেস তদন্তের সময়, আমরা আরও মিররফেস টিটিপি উন্মোচন করতে সক্ষম হয়েছি, যেমন অতিরিক্ত ম্যালওয়্যার এবং সরঞ্জামগুলির স্থাপনা এবং ব্যবহার যাতে ক্ষতিগ্রস্তদের কাছ থেকে মূল্যবান ডেটা সংগ্রহ এবং উত্তোলন করা যায়। তদুপরি, আমাদের তদন্তে দেখা গেছে যে মিররফেস অপারেটররা কিছুটা অসাবধান, চিহ্ন রেখে যাচ্ছে এবং বিভিন্ন ভুল করছে।
ESET গবেষণা ব্যক্তিগত APT গোয়েন্দা প্রতিবেদন এবং ডেটা ফিডও অফার করে। এই পরিষেবা সম্পর্কে কোন অনুসন্ধানের জন্য, দেখুন ESET থ্রেট ইন্টেলিজেন্স পাতা.
আইওসি
নথি পত্র
রয়েছে SHA-1 | ফাইলের নাম | ESET সনাক্তকরণের নাম | বিবরণ |
---|---|---|---|
F4691FF3B3ACD15653684F372285CAC36C8D0AEF | K7SysMn1.dll | Win32/Agent.ACLP | LODEINFO লোডার। |
DB81C8719DDAAE40C8D9B9CA103BBE77BE4FCE6C | K7SysMon.Exe.db | N / A | এনক্রিপ্ট করা LODEINFO। |
A8D2BE15085061B753FDEBBDB08D301A034CE1D5 | JsSchHlp.exe | Win32/Agent.ACLP | JsSchHlp.exe এনক্রিপ্ট করা দ্বিতীয় পর্যায়ের LODEINFO-এর সাথে নিরাপত্তা ডিরেক্টরি. |
0AB7BB3FF583E50FBF28B288E71D3BB57F9D1395 | JSESPR.dll | Win32/Agent.ACLP | দ্বিতীয় পর্যায়ের LODEINFO লোডার। |
E888A552B00D810B5521002304D4F11BC249D8ED | 31558_n.dll | Win32/Agent.ACLP | মিরর স্টিলার শংসাপত্র চুরিকারী। |
নেটওয়ার্ক
IP | প্রদানকারী | প্রথম দেখা | বিস্তারিত |
---|---|---|---|
5.8.95[।]174 | জি-কোর ল্যাবস এসএ | 2022-06-13 | LODEINFO C&C সার্ভার। |
45.32.13[।]180 | এএস-চূপা | 2022-06-29 | ডেটা এক্সফিল্ট্রেশনের জন্য সার্ভার। |
103.175.16[।]39 | গিগাবিট হোস্টিং Sdn Bhd | 2022-06-13 | LODEINFO C&C সার্ভার। |
167.179.116[।]56 | এএস-চূপা | 2021-10-20 | www.ninesmn[.]com, দ্বিতীয় পর্যায়ের LODEINFO C&C সার্ভার। |
172.105.217[।]233 | লিনোড, এলএলসি | 2021-11-14 | www.aesorunwe[.]com, দ্বিতীয় পর্যায়ের LODEINFO C&C সার্ভার। |
মিটার ATT এবং CK কৌশল
এই টেবিল ব্যবহার করে নির্মিত হয়েছিল 12 সংস্করণ MITER ATT&CK ফ্রেমওয়ার্কের.
উল্লেখ্য যে যদিও এই ব্লগপোস্টটি LODEINFO ক্ষমতার সম্পূর্ণ ওভারভিউ প্রদান করে না কারণ এই তথ্যটি ইতিমধ্যেই অন্যান্য প্রকাশনায় পাওয়া যায়, নীচের MITER ATT&CK সারণীতে এর সাথে সম্পর্কিত সমস্ত কৌশল রয়েছে।
যুদ্ধকৌশল | ID | নাম | বিবরণ |
---|---|---|---|
প্রাথমিক অ্যাক্সেস | T1566.001 | ফিশিং: স্পিয়ারফিশিং সংযুক্তি | একটি দূষিত WinRAR SFX সংরক্ষণাগার একটি স্পিয়ারফিশিং ইমেলের সাথে সংযুক্ত রয়েছে৷ |
ফাঁসি | T1106 | নেটিভ এপিআই | LODEINFO ব্যবহার করে ফাইল এক্সিকিউট করতে পারে CreateProcessA API- টি। |
T1204.002 | ইউজার এক্সিকিউশন: ক্ষতিকারক ফাইল | MirrorFace অপারেটররা ইমেলের মাধ্যমে প্রেরিত একটি ক্ষতিকারক সংযুক্তি খোলার শিকারের উপর নির্ভর করে। | |
T1559.001 | ইন্টার-প্রসেস কমিউনিকেশন: কম্পোনেন্ট অবজেক্ট মডেল | LODEINFO কম্পোনেন্ট অবজেক্ট মডেলের মাধ্যমে কমান্ড এক্সিকিউট করতে পারে। | |
অধ্যবসায় | T1547.001 | বুট বা লগইন অটোস্টার্ট এক্সিকিউশন: রেজিস্ট্রি রান কী/স্টার্টআপ ফোল্ডার | LODEINFO একটি এন্ট্রি যোগ করে HKCU রান অধ্যবসায় নিশ্চিত করতে চাবিকাঠি।
আমরা মিররফেস অপারেটরদের ম্যানুয়ালি একটি এন্ট্রি যুক্ত করতে দেখেছি HKCU রান দ্বিতীয়-পর্যায়ের LODEINFO-এর জন্য স্থিরতা নিশ্চিত করার মূল চাবিকাঠি। |
প্রতিরক্ষা ফাঁকি | T1112 | রেজিস্ট্রি পরিবর্তন করুন | LODEINFO এর কনফিগারেশন রেজিস্ট্রিতে সংরক্ষণ করতে পারে। |
T1055 | প্রসেস ইনজেকশন | LODEINFO শেলকোড ইনজেক্ট করতে পারে cmd.exe. | |
T1140 | Deobfuscate/ডিকোড ফাইল বা তথ্য | LODEINFO লোডার একটি একক-বাইট XOR বা RC4 ব্যবহার করে একটি পেলোড ডিক্রিপ্ট করে। | |
T1574.002 | হাইজ্যাক এক্সিকিউশন ফ্লো: DLL সাইড-লোডিং | মিররফেস সাইড-লোড করে LODEINFO একটি দূষিত লাইব্রেরি এবং একটি বৈধ নির্বাহযোগ্য (যেমন, K7SysMon.exe). | |
আবিষ্কার | T1082 | সিস্টেম তথ্য আবিষ্কার | LODEINFO আঙুলের ছাপ আপস করা মেশিনের। |
T1083 | ফাইল এবং ডিরেক্টরি আবিষ্কার | LODEINFO ফাইল এবং ডিরেক্টরি তালিকা পেতে পারে। | |
T1057 | প্রক্রিয়া আবিষ্কার | LODEINFO চলমান প্রক্রিয়ার তালিকা করতে পারে। | |
T1033 | সিস্টেমের মালিক/ব্যবহারকারী আবিষ্কার | LODEINFO শিকারের ব্যবহারকারীর নাম পেতে পারে। | |
T1614.001 | সিস্টেম লোকেশন ডিসকভারি: সিস্টেম ল্যাঙ্গুয়েজ ডিসকভারি | LODEINFO সিস্টেমের ভাষা পরীক্ষা করে যাচাই করে যে এটি ইংরেজি ভাষা ব্যবহার করার জন্য একটি মেশিন সেটে চলছে না। | |
সংগ্রহ | T1560.001 | সংগৃহীত তথ্য সংরক্ষণাগার: ইউটিলিটির মাধ্যমে সংরক্ষণাগার | আমরা মিররফেস অপারেটররা RAR আর্কাইভার ব্যবহার করে সংগৃহীত ডেটা সংরক্ষণাগার পর্যবেক্ষণ করেছি। |
T1114.001 | ইমেল সংগ্রহ: স্থানীয় ইমেল সংগ্রহ | আমরা মিররফেস অপারেটরদের সঞ্চিত ইমেল বার্তা সংগ্রহ করতে দেখেছি। | |
T1056.001 | ইনপুট ক্যাপচার: কীলগিং | LODEINFO কীলগিং করে। | |
T1113 | স্ক্রিন ক্যাপচার | LODEINFO একটি স্ক্রিনশট পেতে পারেন। | |
T1005 | স্থানীয় সিস্টেম থেকে ডেটা | আমরা মিররফেস অপারেটরদের আগ্রহের ডেটা সংগ্রহ এবং উত্তোলন করতে দেখেছি। | |
কমান্ড এবং কন্ট্রোল | T1071.001 | অ্যাপ্লিকেশন লেয়ার প্রোটোকল: ওয়েব প্রোটোকল | LODEINFO তার C&C সার্ভারের সাথে যোগাযোগ করতে HTTP প্রোটোকল ব্যবহার করে। |
T1132.001 | ডেটা এনকোডিং: স্ট্যান্ডার্ড এনকোডিং | LODEINFO তার C&C ট্রাফিক এনকোড করতে URL-নিরাপদ base64 ব্যবহার করে। | |
T1573.001 | এনক্রিপ্ট করা চ্যানেল: সিমেট্রিক ক্রিপ্টোগ্রাফি | C&C ট্রাফিক এনক্রিপ্ট করতে LODEINFO AES-256-CBC ব্যবহার করে। | |
T1001.001 | ডেটা অস্পষ্টতা: জাঙ্ক ডেটা | দ্বিতীয় পর্যায়ের LODEINFO C&C প্রেরিত ডেটাতে আবর্জনাকে প্রিপেন্ড করে। | |
বহিষ্কার | T1041 | C2 চ্যানেল ওভার এক্সফিল্ট্রেশন | LODEINFO ফাইলগুলিকে C&C সার্ভারে উত্তোলন করতে পারে। |
T1071.002 | অ্যাপ্লিকেশন লেয়ার প্রোটোকল: ফাইল ট্রান্সফার প্রোটোকল | আমরা মিররফেস দেখেছি সিকিউর কপি প্রোটোকল (এসসিপি) ব্যবহার করে সংগৃহীত ডেটা এক্সফিল্টার করতে। | |
প্রভাব | T1486 | প্রভাবের জন্য ডেটা এনক্রিপ্ট করা হয়েছে | LODEINFO শিকারের মেশিনে ফাইল এনক্রিপ্ট করতে পারে। |
- blockchain
- coingenius
- cryptocurrency মানিব্যাগ
- ক্রিপ্টোএক্সচেঞ্জ
- সাইবার নিরাপত্তা
- cybercriminals
- সাইবার নিরাপত্তা
- হোমল্যান্ড সিকিউরিটি ডিপার্টমেন্ট
- ডিজিটাল ওয়ালেট
- ESET গবেষণা
- ফায়ারওয়াল
- Kaspersky
- ম্যালওয়্যার
- এমকাফি
- নেক্সব্লক
- Plato
- প্লেটো এআই
- প্লেটো ডেটা ইন্টেলিজেন্স
- প্লেটো গেম
- প্লেটোডাটা
- প্লেটোগেমিং
- ভিপিএন
- আমরা নিরাপত্তা লাইভ
- ওয়েবসাইট নিরাপত্তা
- zephyrnet