Demaskierung von MirrorFace: Die Operation LiberalFace zielt auf japanische politische Einheiten ab

ESET-Forscher entdeckten eine Spearphishing-Kampagne, die in den Wochen vor dem gestartet wurde Wahl zum japanischen Ratshaus im Juli 2022 von der APT-Gruppe, die ESET Research als MirrorFace verfolgt. Die Kampagne, die wir Operation LiberalFace genannt haben, zielte auf japanische politische Einheiten ab; Unsere Untersuchung ergab, dass die Mitglieder einer bestimmten politischen Partei in dieser Kampagne besonders im Fokus standen. ESET Research hat Details über diese Kampagne und die dahinter stehende APT-Gruppe aufgedeckt AVAR 2022 Konferenz Anfang dieses Monats.

MirrorFace ist ein chinesischsprachiger Bedrohungsakteur, der es auf Unternehmen und Organisationen mit Sitz in Japan abgesehen hat. Es gibt zwar einige Spekulationen, dass dieser Bedrohungsakteur mit APT10 verwandt sein könnte (Macnica, Kaspersky), kann ESET es keiner bekannten APT-Gruppe zuordnen. Daher verfolgen wir es als separate Entität, die wir MirrorFace genannt haben. Insbesondere wurden MirrorFace und LODEINFO, seine proprietäre Malware, die ausschließlich gegen Ziele in Japan eingesetzt wird, verwendet berichtet als Zielmedien, verteidigungsbezogene Unternehmen, Denkfabriken, diplomatische Organisationen und akademische Institutionen. Das Ziel von MirrorFace ist die Spionage und Exfiltration von interessanten Dateien.

Wir ordnen Operation LiberalFace MirrorFace basierend auf diesen Indikatoren zu:

• Nach unserem besten Wissen wird LODEINFO-Malware ausschließlich von MirrorFace verwendet.
• Die Ziele der Operation LiberalFace stimmen mit der traditionellen Ausrichtung von MirrorFace überein.
• Ein LODEINFO-Malware-Sample der zweiten Stufe kontaktierte einen C&C-Server, den wir intern als Teil der MirrorFace-Infrastruktur verfolgen.

Eine der Spearphishing-E-Mails, die im Rahmen von Operation LiberalFace gesendet wurden, gab sich als offizielle Mitteilung der PR-Abteilung einer bestimmten japanischen politischen Partei aus und enthielt eine Anfrage im Zusammenhang mit den Wahlen zum House of Councilors, und wurde angeblich im Namen eines prominenten Politikers gesendet. Alle Spearphishing-E-Mails enthielten einen bösartigen Anhang, der bei der Ausführung LODEINFO auf dem kompromittierten Computer bereitstellte.

Darüber hinaus haben wir entdeckt, dass MirrorFace zuvor undokumentierte Malware verwendet hat, die wir MirrorStealer genannt haben, um die Anmeldeinformationen seines Ziels zu stehlen. Wir glauben, dass dies das erste Mal ist, dass diese Malware öffentlich beschrieben wird.

In diesem Blogpost behandeln wir die beobachteten Aktivitäten nach der Kompromittierung, einschließlich der C&C-Befehle, die an LODEINFO gesendet wurden, um die Aktionen auszuführen. Basierend auf bestimmten Aktivitäten, die auf dem betroffenen Computer durchgeführt wurden, glauben wir, dass der MirrorFace-Operator Befehle auf manuelle oder halbmanuelle Weise an LODEINFO ausgegeben hat.

Erster Zugriff

MirrorFace startete den Angriff am 29. Juni^th, 2022, Verbreitung von Spearphishing-E-Mails mit einem bösartigen Anhang an die Ziele. Der Betreff der E-Mail lautete SNS用動画拡散のお願い (Übersetzung von Google Translate: [Wichtig] Bitte um Verbreitung von Videos für SNS). Abbildung 1 und Abbildung 2 zeigen seinen Inhalt.

Abbildung 2. Übersetzte Version

MirrorFace gab vor, die PR-Abteilung einer japanischen politischen Partei zu sein und bat die Empfänger, die angehängten Videos auf ihren eigenen Social-Media-Profilen (SNS – Social Network Service) zu verbreiten, um die PR der Partei weiter zu stärken und den Sieg im House of Councillors zu sichern. Darüber hinaus enthält die E-Mail klare Anweisungen zur Veröffentlichungsstrategie der Videos.

Da die Wahlen zum House of Councilors am 10. Juli stattfanden^thDezember 2022 zeigt diese E-Mail eindeutig, dass MirrorFace die Gelegenheit gesucht hat, politische Einrichtungen anzugreifen. Außerdem weisen bestimmte Inhalte in der E-Mail darauf hin, dass Mitglieder einer bestimmten politischen Partei angegriffen wurden.

MirrorFace verwendete in der Kampagne auch eine andere Spearphishing-E-Mail, deren Anhang betitelt war Beschreibung: 220628発・選挙管理委員会宛文書 (添書分).exe (Übersetzung von Google Übersetzer: [Referenz] 220628 Dokumente des Ministeriums für Wahlverwaltungsausschuss (Anhang.exe). Das beigefügte Lockdokument (siehe Abbildung 3) bezieht sich ebenfalls auf die Wahlen zum House of Councilors.

Abbildung 3. Decoy-Dokument, das dem Ziel gezeigt wird

In beiden Fällen enthielten die E-Mails bösartige Anhänge in Form von selbstextrahierenden WinRAR-Archiven mit irreführenden Namen.exe (Übersetzung von Google Übersetzer: Anfrage zur Verbreitung von Videos für SNS.exe) und 【参考】220628発・選挙管理委員会宛文書 (添書分).exe (Übersetzung von Google Übersetzer: [Referenz] 220628 Dokumente des Ministeriums für Wahlverwaltungsausschuss (Anhang.exe) beziehungsweise.

Diese EXEs extrahieren ihren archivierten Inhalt in die % TEMP% Mappe. Insbesondere werden vier Dateien extrahiert:

• K7SysMon.exe, eine gutartige Anwendung, die von K7 Computing Pvt Ltd entwickelt wurde und anfällig für die Entführung von DLL-Suchaufträgen ist
• K7SysMn1.dll, ein bösartiger Loader
• K7SysMon.Exe.db, verschlüsselte LODEINFO-Malware
• Ein Scheindokument

Dann wird das Köderdokument geöffnet, um das Ziel zu täuschen und gütig zu erscheinen. Als letzter Schritt K7SysMon.exe ausgeführt, der den schädlichen Loader lädt K7SysMn1.dll daneben gefallen. Schließlich liest der Loader den Inhalt von K7SysMon.Exe.db, entschlüsselt es und führt es dann aus. Beachten Sie, dass dieser Ansatz auch von Kaspersky beobachtet und in ihrem beschrieben wurde berichten.

Werkzeugsatz

In diesem Abschnitt beschreiben wir die Malware MirrorFace, die in Operation LiberalFace verwendet wird.

LODEINFO

LODEINFO ist eine MirrorFace-Hintertür, die ständig weiterentwickelt wird. JPCERT über die erste Version berichtet von LODEINFO (v0.1.2), das etwa im Dezember 2019 erschien; Seine Funktionalität ermöglicht das Aufnehmen von Screenshots, Keylogging, das Beenden von Prozessen, das Exfiltrieren von Dateien und das Ausführen zusätzlicher Dateien und Befehle. Seitdem haben wir mehrere Änderungen beobachtet, die an jeder seiner Versionen vorgenommen wurden. Version 0.3.8 (die wir erstmals im Juni 2020 entdeckten) fügte beispielsweise den Befehl ransom hinzu (der definierte Dateien und Ordner verschlüsselt), und Version 0.5.6 (die wir im Juli 2021 entdeckten) fügte den Befehl hinzu Config, die es den Betreibern ermöglicht, die in der Registrierung gespeicherte Konfiguration zu ändern. Neben der oben erwähnten JPCERT-Berichterstattung wurde Anfang dieses Jahres auch eine detaillierte Analyse der LODEINFO-Hintertür von veröffentlicht Kaspersky.

Bei Operation LiberalFace beobachteten wir MirrorFace-Betreiber, die sowohl die reguläre LODEINFO- als auch die sogenannte LODEINFO-Malware der zweiten Stufe verwendeten. Das LODEINFO der zweiten Stufe kann vom regulären LODEINFO unterschieden werden, indem die Gesamtfunktionalität betrachtet wird. Insbesondere die zweite Stufe LODEINFO akzeptiert und führt PE-Binärdateien und Shellcode außerhalb der implementierten Befehle aus. Darüber hinaus kann die zweite Stufe LODEINFO den C&C-Befehl verarbeiten Config, aber die Funktionalität für den Befehl Lösegeld fehlt.

Schließlich unterscheiden sich die vom C&C-Server empfangenen Daten zwischen dem regulären LODEINFO und dem der zweiten Stufe. Für die zweite Stufe von LODEINFO stellt der C&C-Server zufällige Webseiteninhalte den eigentlichen Daten voran. Siehe Abbildung 4, Abbildung 5 und Abbildung 6, die den Unterschied der empfangenen Daten darstellen. Beachten Sie, dass sich das vorangestellte Code-Snippet für jeden empfangenen Datenstrom aus dem C&C der zweiten Stufe unterscheidet.

Abbildung 4. Daten, die von der ersten Stufe von LODEINFO C&C empfangen wurden

Abbildung 5. Vom C&C der zweiten Stufe empfangene Daten

Abbildung 6. Ein weiterer Datenstrom, der vom C&C der zweiten Stufe empfangen wurde

Spiegeldieb

MirrorStealer, intern benannt 31558_n.dll von MirrorFace, ist ein Credential Stealer. Nach unserem besten Wissen wurde diese Malware nicht öffentlich beschrieben. Im Allgemeinen stiehlt MirrorStealer Anmeldeinformationen von verschiedenen Anwendungen wie Browsern und E-Mail-Clients. Interessanterweise ist eine der gezielten Anwendungen Becky!, ein E-Mail-Client, der derzeit nur in Japan verfügbar ist. Alle gestohlenen Zugangsdaten werden in gespeichert %TEMP%31558.txt und da MirrorStealer nicht in der Lage ist, die gestohlenen Daten zu exfiltrieren, hängt es von anderer Malware ab, dies zu tun.

Aktivitäten nach dem Kompromiss

Während unserer Recherchen konnten wir einige der Befehle beobachten, die an kompromittierte Computer ausgegeben wurden.

Erste Umgebungsbeobachtung

Sobald LODEINFO auf den kompromittierten Maschinen gestartet wurde und sie sich erfolgreich mit dem C&C-Server verbunden hatten, begann ein Operator mit der Ausgabe von Befehlen (siehe Abbildung 7).

Abbildung 7. Anfängliche Umgebungsbeobachtung durch den MirrorFace-Operator über LODEINFO

Zuerst gab der Bediener einen der LODEINFO-Befehle aus, drucken, um den Bildschirm des kompromittierten Computers zu erfassen. Es folgte ein weiterer Befehl, ls, um den Inhalt des aktuellen Ordners anzuzeigen, in dem sich LODEINFO befand (d. h. % TEMP%). Unmittelbar danach nutzte der Betreiber LODEINFO, um Netzwerkinformationen durch Laufen zu erhalten Netzansicht und Netzansicht /domain. Der erste Befehl gibt die Liste der mit dem Netzwerk verbundenen Computer zurück, während der zweite die Liste der verfügbaren Domänen zurückgibt.

Anmeldedaten- und Browser-Cookie-Diebstahl

Nachdem er diese grundlegenden Informationen gesammelt hatte, ging der Bediener zur nächsten Phase über (siehe Abbildung 8).

Abbildung 8. Ablauf der an LODEINFO gesendeten Anweisungen zum Einsatz von Credential Stealer, zum Sammeln von Anmeldeinformationen und Browser-Cookies und zum Exfiltrieren auf den C&C-Server

Der Bediener hat den LODEINFO-Befehl send mit dem Unterbefehl ausgegeben -Erinnerung . Spiegeldieb Malware auf den kompromittierten Rechner. Der Unterbefehl -Erinnerung wurde verwendet, um LODEINFO anzugeben, MirrorStealer in seinem Speicher zu behalten, was bedeutet, dass die MirrorStealer-Binärdatei nie auf der Festplatte abgelegt wurde. Anschließend der Befehl Erinnerung wurde ausgestellt. Dieser Befehl wies LODEINFO an, MirrorStealer zu nehmen und ihn in den Spawned zu injizieren cmd.exe verarbeiten und ausführen.

Nachdem MirrorStealer die Zugangsdaten gesammelt und gespeichert hatte %temp%31558.txt, verwendete der Betreiber LODEINFO, um die Anmeldeinformationen herauszufiltern.

Der Betreiber war auch an den Browser-Cookies des Opfers interessiert. MirrorStealer besitzt jedoch nicht die Fähigkeit, diese zu sammeln. Daher hat der Betreiber die Cookies manuell über LODEINFO ausgefiltert. Zuerst verwendete der Operator den LODEINFO-Befehl dir um den Inhalt der Ordner aufzulisten %LocalAppData%GoogleChromeBenutzerdaten und %LocalAppData%MicrosoftEdgeBenutzerdaten. Dann kopierte der Betreiber alle identifizierten Cookie-Dateien in die % TEMP% Mappe. Als nächstes exfiltrierte der Operator alle gesammelten Cookie-Dateien mit dem Befehl LODEINFO recv. Schließlich löschte der Betreiber die kopierten Cookie-Dateien aus dem % TEMP% Ordner, um die Spuren zu entfernen.

Diebstahl von Dokumenten und E-Mails

Im nächsten Schritt exfiltrierte der Betreiber Dokumente verschiedenster Art sowie gespeicherte E-Mails (siehe Abbildung 9).

Abbildung 9. Fluss der Anweisungen, die an LODEINFO gesendet werden, um Dateien von Interesse zu exfiltrieren

Dafür nutzte der Betreiber zunächst LODEINFO, um den WinRAR-Archivierer (rar.exe). Verwenden rar.exe, sammelte und archivierte der Betreiber Dateien von Interesse, die nach dem 2022 geändert wurden, aus den Ordnern %USERPROFILE% und C:$Recycle.Bin. Der Betreiber war an all diesen Dateien mit den Erweiterungen interessiert.Dokument*, .ppt*, .xls*, .jtd, .eml, .*xps und . Pdf.

Beachten Sie, dass MirrorFace neben den gängigen Dokumenttypen auch an Dateien mit dem interessiert war .jtd Verlängerung. Dies repräsentiert Dokumente der japanischen Textverarbeitung Ichitaro von JustSystems entwickelt.

Sobald das Archiv erstellt wurde, lieferte der Betreiber den Secure Copy Protocol (SCP)-Client von der PuTTY nach (pscp.exe) und benutzte es dann, um das gerade erstellte RAR-Archiv auf den Server unter zu exfiltrieren 45.32.13[.]180. Diese IP-Adresse wurde in früheren MirrorFace-Aktivitäten nicht beobachtet und wurde in keiner von uns beobachteten LODEINFO-Malware als C&C-Server verwendet. Unmittelbar nachdem das Archiv exfiltriert wurde, löschte der Betreiber rar.exe, pscp.exe, und das RAR-Archiv, um die Spuren der Aktivität zu bereinigen.

Bereitstellung der zweiten Phase von LODEINFO

Der letzte Schritt, den wir beobachtet haben, war die Bereitstellung der zweiten Stufe von LODEINFO (siehe Abbildung 10).

Abbildung 10. Ablauf der an LODEINFO gesendeten Anweisungen zum Bereitstellen von LODEINFO der zweiten Stufe

Der Betreiber lieferte die folgenden Binärdateien: JSESPR.dll, JsSchHlp.exe und vcruntime140.dll zur kompromittierten Maschine. Das Original JsSchHlp.exe ist eine gutartige Anwendung, die von JUSTSYSTEMS CORPORATION (Hersteller des zuvor erwähnten japanischen Textverarbeitungsprogramms Ichitaro) unterzeichnet wurde. In diesem Fall missbrauchte der MirrorFace-Betreiber jedoch eine bekannte digitale Signaturprüfung von Microsoft Problem und angehängte RC4-verschlüsselte Daten an die JsSchHlp.exe Digitale Unterschrift. Aufgrund des genannten Problems betrachtet Windows immer noch die modifizierte JsSchHlp.exe gültig unterschrieben werden.

JsSchHlp.exe ist auch anfällig für das seitliche Laden von DLLs. Daher wird bei der Ausführung die gepflanzt JSESPR.dll geladen ist (siehe Abbildung 11).

Abbildung 11. Ausführungsfluss von LODEINFO der zweiten Stufe

JSESPR.dll ist ein bösartiger Loader, der die angehängte Payload ausliest JsSchHlp.exe, entschlüsselt es und führt es aus. Die Nutzlast ist die LODEINFO der zweiten Stufe, und sobald sie ausgeführt wurde, verwendete der Operator die reguläre LODEINFO, um die Persistenz für die LODEINFO der zweiten Stufe festzulegen. Insbesondere lief der Betreiber die reg.exe Dienstprogramm zum Hinzufügen eines Werts mit dem Namen JsSchHlp zu den Führen Sie Registrierungsschlüssel mit dem Pfad zu JsSchHlp.exe.

Es scheint uns jedoch, dass es dem Betreiber nicht gelungen ist, die zweite Stufe von LODEINFO dazu zu bringen, ordnungsgemäß mit dem C&C-Server zu kommunizieren. Daher bleiben uns alle weiteren Schritte des Betreibers, der das LODEINFO der zweiten Stufe nutzt, unbekannt.

Interessante Beobachtungen

Während der Untersuchung haben wir einige interessante Beobachtungen gemacht. Einer davon ist, dass der Bediener beim Erteilen von Befehlen an LODEINFO einige Fehler und Tippfehler gemacht hat. Beispielsweise hat der Operator die Zeichenfolge gesendet cmd /c dir „c:use“ zu LODEINFO, was höchstwahrscheinlich sein sollte cmd /c dir „c:users“.

Dies deutet darauf hin, dass der Bediener Befehle an LODEINFO auf manuelle oder halbmanuelle Weise erteilt.

Unsere nächste Beobachtung ist, dass der Operator, obwohl er einige Aufräumarbeiten durchgeführt hat, um Spuren der Kompromittierung zu entfernen, vergessen hat, sie zu löschen %temp%31558.txt – das Protokoll mit den gestohlenen Zugangsdaten. Somit blieb zumindest diese Spur auf der kompromittierten Maschine und zeigt uns, dass der Bediener bei der Bereinigung nicht gründlich war.

Zusammenfassung

MirrorFace strebt weiterhin nach hochwertigen Zielen in Japan. In Operation LiberalFace zielte es speziell auf politische Einheiten ab, die die damals bevorstehenden Wahlen zum House of Councilors zu ihrem Vorteil nutzten. Interessanterweise deuten unsere Ergebnisse darauf hin, dass sich MirrorFace besonders auf die Mitglieder einer bestimmten politischen Partei konzentriert.

Während der Operation LiberalFace-Untersuchung gelang es uns, weitere MirrorFace-TTPs aufzudecken, wie z. B. die Bereitstellung und Verwendung zusätzlicher Malware und Tools zum Sammeln und Exfiltrieren wertvoller Daten von Opfern. Darüber hinaus hat unsere Untersuchung ergeben, dass die MirrorFace-Bediener etwas nachlässig sind, Spuren hinterlassen und verschiedene Fehler machen.

IoCs

Mappen

Netzwerk

MITRE ATT&CK-Techniken

Diese Tabelle wurde mit erstellt Version 12 des MITRE ATT&CK-Frameworks.

Beachten Sie, dass dieser Blogpost zwar keinen vollständigen Überblick über die Fähigkeiten von LODEINFO bietet, da diese Informationen bereits in anderen Veröffentlichungen verfügbar sind, die MITRE ATT&CK-Tabelle unten jedoch alle damit verbundenen Techniken enthält.