Afmaskning af MirrorFace: Operation LiberalFace rettet mod japanske politiske enheder

ESET-forskere opdagede en spearphishing-kampagne, der blev lanceret i ugerne op til Valg af japanske rådsmedlemmer i juli 2022 af APT-gruppen, som ESET Research sporer som MirrorFace. Kampagnen, som vi har kaldt Operation LiberalFace, var rettet mod japanske politiske enheder; vores undersøgelse afslørede, at medlemmerne af et specifikt politisk parti var særligt fokus i denne kampagne. ESET Research afslørede detaljer om denne kampagne og APT-gruppen bag den på AVAR 2022 konference i begyndelsen af ​​denne måned.

MirrorFace er en kinesisktalende trusselsaktør rettet mod virksomheder og organisationer baseret i Japan. Selvom der er nogle spekulationer om, at denne trusselsaktør kan være relateret til APT10 (Macnica, Kaspersky), ESET er ikke i stand til at tilskrive det til nogen kendt APT-gruppe. Derfor sporer vi det som en separat enhed, som vi har navngivet MirrorFace. Specielt MirrorFace og LODEINFO, deres proprietære malware, der udelukkende bruges mod mål i Japan, er blevet rapporteret som målrettet medier, forsvarsrelaterede virksomheder, tænketanke, diplomatiske organisationer og akademiske institutioner. Målet med MirrorFace er spionage og eksfiltrering af filer af interesse.

Vi tilskriver Operation LiberalFace til MirrorFace baseret på disse indikatorer:

• Så vidt vi ved, bruges LODEINFO malware udelukkende af MirrorFace.
• Målene for Operation LiberalFace stemmer overens med traditionel MirrorFace-målretning.
• En anden fase LODEINFO-malwareprøve kontaktede en C&C-server, som vi sporer internt som en del af MirrorFace-infrastrukturen.

En af de spearphishing-e-mails, der blev sendt i Operation LiberalFace, udgjorde en officiel meddelelse fra PR-afdelingen for et specifikt japansk politisk parti, indeholdende en anmodning relateret til valget til House of Councilors, og blev angiveligt sendt på vegne af en fremtrædende politiker. Alle spearphishing-e-mails indeholdt en ondsindet vedhæftet fil, der ved udførelse implementerede LODEINFO på den kompromitterede maskine.

Derudover opdagede vi, at MirrorFace har brugt tidligere udokumenteret malware, som vi har kaldt MirrorStealer, til at stjæle sit måls legitimationsoplysninger. Vi mener, at dette er første gang, denne malware er blevet offentligt beskrevet.

I dette blogindlæg dækker vi de observerede aktiviteter efter kompromis, herunder C&C-kommandoer sendt til LODEINFO for at udføre handlingerne. Baseret på visse aktiviteter udført på den berørte maskine, tror vi, at MirrorFace-operatøren udstedte kommandoer til LODEINFO på en manuel eller semi-manuel måde.

Indledende adgang

MirrorFace startede angrebet den 29. juni^th, 2022, distributing spearphishing emails with a malicious attachment to the targets. The subject of the email was SNS用動画 拡散のお願い (oversættelse fra Google Translate: [Important] Request for spreading videos for SNS). Figur 1 og figur 2 viser indholdet.

Figur 2. Oversat version

MirrorFace udgav sig for at være et japansk politisk partis PR-afdeling og bad modtagerne om at distribuere de vedhæftede videoer på deres egne sociale medieprofiler (SNS – Social Network Service) for yderligere at styrke partiets PR og sikre sejren i House of Councillors. Endvidere giver mailen klare instruktioner om videoernes udgivelsesstrategi.

Siden valget til Rådmandshuset blev afholdt den 10. juli^th, 2022, viser denne e-mail tydeligt, at MirrorFace søgte muligheden for at angribe politiske enheder. Også specifikt indhold i e-mailen indikerer, at medlemmer af et bestemt politisk parti var målrettet.

MirrorFace brugte også en anden spearphishing-e-mail i kampagnen, hvor den vedhæftede fil havde titlen 【参考】220628発・選挙管理委員会宛文書（添書分）.exe (oversættelse fra Google Translate: [Reference] 220628 Documents from the Ministry of to election administration committee (appendix).exe). Det vedhæftede lokkedokument (vist i figur 3) refererer også til valget til House of Councilors.

Figur 3. Lokkedokument vist til målet

In both cases, the emails contained malicious attachments in the form of self-extracting WinRAR archives with deceptive names SNS用動画 拡散のお願い.exe (oversættelse fra Google Translate: Anmodning om spredning af videoer til SNS.exe) og 【参考】220628発・選挙管理委員会宛文書（添書分）.exe (oversættelse fra Google Translate: [Reference] 220628 Documents from the Ministry of to election administration committee (appendix).exe) henholdsvis.

Disse EXE'er uddrager deres arkiverede indhold i % TEMP% folder. Især fire filer udpakkes:

• K7SysMon.exe, en godartet applikation udviklet af K7 Computing Pvt Ltd sårbar over for DLL-søgeordrekapring
• K7SysMn1.dll, en ondsindet loader
• K7SysMon.Exe.db, krypteret LODEINFO malware
• Et lokkedokument

Derefter åbnes lokkedokumentet for at bedrage målet og for at fremstå godartet. Som det sidste trin, K7SysMon.exe udføres, som indlæser den ondsindede loader K7SysMn1.dll faldt ved siden af. Til sidst læser loaderen indholdet af K7SysMon.Exe.db, dekrypterer det og udfører det derefter. Bemærk, at denne tilgang også blev observeret af Kaspersky og beskrevet i deres indberette.

Værktøjssæt

I dette afsnit beskriver vi den malware MirrorFace, der bruges i Operation LiberalFace.

LODEINFO

LODEINFO er en MirrorFace-bagdør, der er under løbende udvikling. JPCERT rapporterede om den første version af LODEINFO (v0.1.2), som udkom omkring december 2019; dens funktionalitet tillader optagelse af skærmbilleder, keylogging, aflivning af processer, eksfiltrering af filer og udførelse af yderligere filer og kommandoer. Siden da har vi observeret adskillige ændringer, der er introduceret til hver af dens versioner. For eksempel tilføjede version 0.3.8 (som vi først opdagede i juni 2020) kommandoen ransom (som krypterer definerede filer og mapper), og version 0.5.6 (som vi opdagede i juli 2021) tilføjede kommandoen config, som giver operatører mulighed for at ændre dens konfiguration, der er gemt i registreringsdatabasen. Udover JPCERT-rapporteringen nævnt ovenfor, blev en detaljeret analyse af LODEINFO-bagdøren også offentliggjort tidligere på året af Kaspersky.

I Operation LiberalFace observerede vi MirrorFace-operatører, der brugte både den almindelige LODEINFO og det, vi kalder anden fase LODEINFO malware. Anden trins LODEINFO kan skelnes fra den almindelige LODEINFO ved at se på den overordnede funktionalitet. Især andet-trins LODEINFO accepterer og kører PE binære filer og shellcode uden for de implementerede kommandoer. Ydermere kan andet trin LODEINFO behandle C&C-kommandoen config, men funktionaliteten for kommandoen løsepenge mangler.

Endelig adskiller de data, der modtages fra C&C-serveren, sig mellem den almindelige LODEINFO og den anden fase. For andet trin af LODEINFO sætter C&C-serveren tilfældigt websideindhold forud for de faktiske data. Se figur 4, figur 5 og figur 6, der afbilder den modtagne dataforskel. Bemærk, at det foranstillede kodestykke er forskelligt for hver modtagne datastrøm fra C&C i andet trin.

Figur 4. Data modtaget fra første fase af LODEINFO C&C

Figur 5. Data modtaget fra anden fase C&C

Figur 6. En anden datastrøm modtaget fra anden fase C&C

MirrorStealer

MirrorStealer, internt navngivet 31558_n.dll af MirrorFace, er en legitimationstyver. Så vidt vi ved, er denne malware ikke blevet offentligt beskrevet. Generelt stjæler MirrorStealer legitimationsoplysninger fra forskellige applikationer såsom browsere og e-mail-klienter. Interessant nok er en af ​​de målrettede applikationer Becky!, en e-mail-klient, der i øjeblikket kun er tilgængelig i Japan. Alle de stjålne legitimationsoplysninger er gemt i %TEMP%31558.txt og da MirrorStealer ikke har evnen til at eksfiltrere de stjålne data, afhænger det af anden malware til at gøre det.

Aktiviteter efter kompromis

Under vores forskning var vi i stand til at observere nogle af de kommandoer, der blev udstedt til kompromitterede computere.

Indledende miljøobservation

Da LODEINFO blev lanceret på de kompromitterede maskiner, og de havde oprettet forbindelse til C&C-serveren, begyndte en operatør at udstede kommandoer (se figur 7).

Figur 7. Indledende miljøobservation af MirrorFace-operatøren via LODEINFO

Først udstedte operatøren en af ​​LODEINFO-kommandoerne, trykke, for at fange skærmen på den kompromitterede maskine. Dette blev efterfulgt af en anden kommando, ls, for at se indholdet af den aktuelle mappe, som LODEINFO befandt sig i (dvs. % TEMP%). Lige efter det brugte operatøren LODEINFO til at få netværksoplysninger ved at køre nettoview , net view /domæne. Den første kommando returnerer listen over computere, der er tilsluttet netværket, mens den anden returnerer listen over tilgængelige domæner.

Stjæling af legitimationsoplysninger og browser-cookies

Efter at have indsamlet denne grundlæggende information, gik operatøren til næste fase (se figur 8).

Figur 8. Flow af instruktioner sendt til LODEINFO for at implementere legitimations-tyveren, indsamle legitimationsoplysninger og browsercookies og exfiltrere dem til C&C-serveren

Operatøren udstedte LODEINFO-kommandoen send med underkommandoen -hukommelse at levere MirrorStealer malware til den kompromitterede maskine. Underkommandoen -hukommelse blev brugt til at indikere til LODEINFO at beholde MirrorStealer i sin hukommelse, hvilket betyder, at MirrorStealer-binæren aldrig blev tabt på disken. Efterfølgende kommandoen hukommelse blev udstedt. Denne kommando instruerede LODEINFO om at tage MirrorStealer, injicere den i spawned cmd.exe proces, og kør den.

Når MirrorStealer havde indsamlet legitimationsoplysningerne og gemt dem i %temp%31558.txt, operatøren brugte LODEINFO til at eksfiltrere legitimationsoplysningerne.

Operatøren var også interesseret i offerets browsercookies. MirrorStealer har dog ikke evnen til at indsamle dem. Derfor eksfiltrerede operatøren cookies manuelt via LODEINFO. Først brugte operatøren LODEINFO-kommandoen dir for at vise indholdet af mapperne %LocalAppData%GoogleChrome-brugerdata , %LocalAppData%MicrosoftEdgeUser Data. Derefter kopierede operatøren alle de identificerede cookiefiler ind i % TEMP% folder. Derefter eksfiltrerede operatøren alle de indsamlede cookie-filer ved hjælp af kommandoen LODEINFO recv. Til sidst slettede operatøren de kopierede cookiefiler fra % TEMP% mappe i et forsøg på at fjerne sporene.

Stjæling af dokumenter og e-mails

I det næste trin eksfiltrerede operatøren dokumenter af forskellig art samt gemte e-mails (se figur 9).

Figur 9. Flow af instruktionerne sendt til LODEINFO for at eksfiltrere filer af interesse

Til det brugte operatøren først LODEINFO til at levere WinRAR-arkiveren (rar.exe). Ved brug af rar.exe, operatøren indsamlede og arkiverede filer af interesse, der blev ændret efter 2022-01-01 fra mapperne %USERPROFILE% og C:$Recycle.Bin. Operatøren var interesseret i alle sådanne filer med udvidelserne.doc*, .ppt*, .xls*, .jtd, .eml, .*xpsog .pdf.

Bemærk, at udover de almindelige dokumenttyper, var MirrorFace også interesseret i filer med .jtd udvidelse. Dette repræsenterer dokumenter fra det japanske tekstbehandlingsprogram Ichitaro udviklet af JustSystems.

Når arkivet var oprettet, leverede operatøren Secure Copy Protocol (SCP)-klienten fra PuTTY efter (pscp.exe) og brugte det derefter til at eksfiltrere det netop oprettede RAR-arkiv til serveren på 45.32.13[.]180. Denne IP-adresse var ikke blevet observeret i tidligere MirrorFace-aktivitet og var ikke blevet brugt som en C&C-server i nogen LODEINFO-malware, som vi har observeret. Lige efter at arkivet blev eksfiltreret, slettede operatøren rar.exe, pscp.exe, og RAR-arkivet for at rydde op i sporene af aktiviteten.

Implementering af anden fase LODEINFO

Det sidste trin, vi observerede, var at levere LODEINFO i andet trin (se figur 10).

Figur 10. Flow af instruktioner sendt til LODEINFO for at implementere andet trins LODEINFO

Operatøren leverede følgende binære filer: JSESPR.dll, JsSchHlp.exeog vcruntime140. dll til den kompromitterede maskine. Den oprindelige JsSchHlp.exe er en godartet applikation, der er underskrevet af JUSTSYSTEMS CORPORATION (producenter af den tidligere nævnte japanske tekstbehandler, Ichitaro). Men i dette tilfælde misbrugte MirrorFace-operatøren en kendt Microsoft digital signaturverifikation spørgsmål og tilføjet RC4-krypterede data til JsSchHlp.exe digital signatur. På grund af det nævnte problem betragter Windows stadig det ændrede JsSchHlp.exe skal være gyldigt underskrevet.

JsSchHlp.exe er også modtagelig for DLL side-loading. Derfor, ved udførelse, plantede JSESPR.dll er indlæst (se figur 11).

Figur 11. Udførelsesflow af andet trins LODEINFO

JSESPR.dll er en ondsindet loader, der læser den tilføjede nyttelast fra JsSchHlp.exe, dekrypterer det og kører det. Nyttelasten er anden trins LODEINFO, og når den kørte, brugte operatøren den almindelige LODEINFO til at indstille persistensen for anden trins. Især operatøren kørte Reg.exe værktøj til at tilføje en navngiven værdi JsSchHlp til Kør registreringsdatabasenøgle, der holder stien til JsSchHlp.exe.

Det ser dog ud til, at operatøren ikke formåede at få anden fase LODEINFO til at kommunikere korrekt med C&C-serveren. Derfor forbliver alle yderligere trin hos operatøren, der anvender anden trins LODEINFO, ukendte for os.

Interessante observationer

Under undersøgelsen gjorde vi et par interessante observationer. En af dem er, at operatøren lavede et par fejl og tastefejl, da han udstedte kommandoer til LODEINFO. For eksempel sendte operatøren strengen cmd /c dir "c:use" til LODEINFO, hvilket højst sandsynligt skulle være cmd /c dir “c:users”.

Dette tyder på, at operatøren udsteder kommandoer til LODEINFO på en manuel eller semi-manuel måde.

Vores næste observation er, at selvom operatøren udførte et par oprydninger for at fjerne spor af kompromiset, glemte operatøren at slette %temp%31558.txt – loggen, der indeholder de stjålne legitimationsoplysninger. Således forblev i det mindste dette spor på den kompromitterede maskine, og det viser os, at operatøren ikke var grundig i oprydningsprocessen.

Konklusion

MirrorFace sigter fortsat efter værdifulde mål i Japan. I Operation LiberalFace var det specifikt rettet mod politiske enheder, der brugte det dengang kommende valg af rådsmedlemmer til sin fordel. Mere interessant viser vores resultater, at MirrorFace fokuserede særligt på medlemmerne af et specifikt politisk parti.

Under Operation LiberalFace-undersøgelsen lykkedes det os at afsløre yderligere MirrorFace TTP'er, såsom implementering og udnyttelse af yderligere malware og værktøjer til at indsamle og eksfiltrere værdifulde data fra ofre. Desuden afslørede vores undersøgelse, at MirrorFace-operatørerne er noget skødesløse, efterlader spor og laver forskellige fejl.

IoC'er

Filer

Netværk

MITRE ATT&CK teknikker

Dette bord er bygget vha udgave 12 af MITER ATT&CK-rammerne.

Bemærk, at selvom dette blogindlæg ikke giver et komplet overblik over LODEINFO-funktioner, fordi denne information allerede er tilgængelig i andre publikationer, indeholder MITER ATT&CK-tabellen nedenfor alle teknikker, der er forbundet med den.