MirrorFace'i paljastamine: operatsioon LiberalFace, mis on suunatud Jaapani poliitilistele üksustele

ESET-i teadlased avastasid andmepüügi kampaania, mis käivitati sellele eelnenud nädalatel Jaapani nõukogude maja valimised 2022. aasta juulis APT grupi poolt, mida ESET Research jälgib kui MirrorFace. Kampaania, mille oleme nimetanud operatsiooniks LiberalFace, oli suunatud Jaapani poliitilistele üksustele; meie uurimine näitas, et selles kampaanias olid erilise tähelepanu all konkreetse erakonna liikmed. ESET Research paljastas selle kampaania ja selle taga oleva APT grupi üksikasjad AVAR 2022 konverents selle kuu alguses.

MirrorFace on hiina keelt kõnelev ohustaja, mis on suunatud Jaapanis asuvatele ettevõtetele ja organisatsioonidele. Kuigi on mõningaid oletusi, et see ohustaja võib olla seotud APT10-ga (Macnica, Kaspersky), ei saa ESET seda ühelegi teadaolevale APT-rühmale omistada. Seetõttu jälgime seda eraldi üksusena, millele oleme andnud nimeks MirrorFace. Eelkõige on MirrorFace ja LODEINFO, selle patenteeritud pahavara, mida kasutatakse ainult Jaapani sihtmärkide vastu. teatatud kui sihikule meedia, kaitsega seotud ettevõtted, mõttekojad, diplomaatilised organisatsioonid ja akadeemilised institutsioonid. MirrorFace'i eesmärk on spionaaž ja huvipakkuvate failide väljafiltreerimine.

Omistame operatsiooni LiberalFace operatsioonile MirrorFace järgmiste näitajate alusel:

• Meie teadmiste kohaselt kasutab LODEINFO pahavara ainult MirrorFace.
• Operatsiooni LiberalFace eesmärgid ühtivad traditsioonilise MirrorFace'i sihtimisega.
• Teise etapi LODEINFO pahavara näidis võttis ühendust C&C serveriga, mida jälgime MirrorFace'i infrastruktuuri osana.

Üks operatsioonis LiberalFace saadetud e-kirjadest kujutas endast konkreetse Jaapani erakonna suhtekorralduse osakonna ametlikku teadet, mis sisaldas nõunikekoja valimistega seotud taotlust, ja see saadeti väidetavalt ühe prominentse poliitiku nimel. Kõik andmepüügi e-kirjad sisaldasid pahatahtlikku manust, mis käivitamisel juurutas ohustatud masinasse LODEINFO.

Lisaks avastasime, et MirrorFace on kasutanud varem dokumenteerimata pahavara, millele oleme andnud nimeks MirrorStealer, et varastada oma sihtmärgi mandaate. Usume, et see on esimene kord, kui seda pahavara avalikult kirjeldatakse.

Selles ajaveebipostituses käsitleme täheldatud kompromissijärgseid tegevusi, sealhulgas LODEINFO-le saadetud C&C-käske toimingute läbiviimiseks. Mõjutatud masinaga tehtud teatud tegevuste põhjal arvame, et MirrorFace'i operaator andis LODEINFO-le käsud käsitsi või poolmanuaalselt.

Esialgne juurdepääs

MirrorFace alustas rünnakut 29. juunil^th, 2022, levitades sihtmärkidele pahatahtliku manusega õngepüügimeile. Meili teema oli SNS用動画 拡散のお願い (tõlge Google'i tõlkest: [Tähtis] SNS-i jaoks videote levitamise taotlus). Joonisel 1 ja joonisel 2 on näidatud selle sisu.

Joonis 2. Tõlgitud versioon

Väidetavalt Jaapani erakonna suhtekorraldusosakond, palus MirrorFace adressaatidel levitada lisatud videoid oma sotsiaalmeedia profiilidel (SNS – Social Network Service), et tugevdada veelgi partei suhtekorraldust ja kindlustada võit nõukogude kojas. Lisaks sisaldab meil selgeid juhiseid videote avaldamisstrateegia kohta.

Kuna nõukogude maja valimised toimusid 10. juulil^th, 2022, näitab see meil selgelt, et MirrorFace otsis võimalust rünnata poliitilisi üksusi. Samuti viitab meili konkreetne sisu sellele, et sihikule võeti konkreetse erakonna liikmed.

MirrorFace kasutas kampaanias ka teist e-kirja, kus manus oli pealkirjastatud 【参考】220628発・選挙管理委員会宛文書（添書分）exe (tõlge Google'i tõlkest: [Viide] 220628 Ministeeriumi dokumendid valimiste halduskomisjonile (lisa).exe. Lisatud peibutusdokumendil (näidatud joonisel 3) on viidatud ka Volikogu valimistele.

Joonis 3. Sihtmärgile näidatud peibutusdokument

Mõlemal juhul sisaldasid e-kirjad pahatahtlikke manuseid isepakkivate WinRAR-i arhiivide kujul, millel olid petlikud nimed SNS用動画 拡散のお願いexe (tõlge Google'i tõlkest: Taotlus SNS.exe videote levitamiseks) ja 【参考】220628発・選挙管理委員会宛文書（添書分）exe (tõlge Google'i tõlkest: [Viide] 220628 Ministeeriumi dokumendid valimiste halduskomisjonile (lisa).exe võrra.

Need EXE-d ekstraheerivad oma arhiveeritud sisu % TEMP% kausta. Eelkõige ekstraheeritakse neli faili:

• K7SysMon.exe, healoomuline rakendus, mille on välja töötanud K7 Computing Pvt Ltd, mis on haavatav DLL-i otsingukäsu kaaperdamise suhtes
• K7SysMn1.dll, pahatahtlik laadija
• K7SysMon.Exe.db, krüptitud LODEINFO pahavara
• Peibutusdokument

Seejärel avatakse peibutusdokument, et sihtmärki petta ja healoomulisena näida. Viimase sammuna K7SysMon.exe käivitatakse, mis laadib pahatahtliku laadija K7SysMn1.dll kukkus selle kõrvale. Lõpuks loeb laadija selle sisu K7SysMon.Exe.db, dekrüpteerib selle ja seejärel käivitab. Pange tähele, et seda lähenemisviisi jälgis ka Kaspersky ja seda kirjeldas ka Kaspersky aru.

Tööriistakomplekt

Selles jaotises kirjeldame operatsioonis LiberalFace kasutatud pahavara MirrorFace.

LODEINFO

LODEINFO on MirrorFace'i tagauks, mida arendatakse pidevalt. JPCERT teatas esimese versiooni kohta LODEINFO (v0.1.2), mis ilmus 2019. aasta detsembri paiku; selle funktsionaalsus võimaldab jäädvustada ekraanipilte, klahvilogimist, tapmisprotsesse, failide väljafiltreerimist ning täiendavate failide ja käskude täitmist. Sellest ajast alates oleme täheldanud mitmeid muudatusi, mis on tehtud igasse selle versiooni. Näiteks versioon 0.3.8 (mille tuvastasime esmakordselt juunis 2020) lisas käsu lunaraha (mis krüpteerib määratletud failid ja kaustad) ja versioon 0.5.6 (mille tuvastasime juulis 2021) lisas käsu config, mis võimaldab operaatoritel muuta selle registrisse salvestatud konfiguratsiooni. Lisaks ülalmainitud JPCERT-i aruandlusele avaldas selle aasta alguses ka LODEINFO tagaukse üksikasjalik analüüs. Kaspersky.

Operatsioonis LiberalFace jälgisime MirrorFace'i operaatoreid, kes kasutasid nii tavalist LODEINFO kui ka seda, mida me nimetame teise etapi LODEINFO pahavaraks. Teise astme LODEINFO saab eristada tavalisest LODEINFOst, vaadates üldist funktsionaalsust. Täpsemalt, teise astme LODEINFO aktsepteerib ja käitab PE-binaarfaile ja shellkoodi väljaspool rakendatud käske. Lisaks saab teise astme LODEINFO töödelda C&C käsku config, vaid käsu funktsionaalsus lunaraha on kadunud.

Lõpuks erinevad C&C-serverist saadud andmed tavalise LODEINFO ja teise astme serveri vahel. Teise etapi LODEINFO puhul lisab C&C server tegelikele andmetele juhusliku veebilehe sisu. Vt joonis 4, joonis 5 ja joonis 6, mis kujutavad vastuvõetud andmete erinevust. Pange tähele, et eelliidetud koodilõik erineb iga vastuvõetud andmevoo puhul teise astme C&C-st.

Joonis 4. Esimese etapi LODEINFO C&C-st saadud andmed

Joonis 5. Teise etapi C&C saadud andmed

Joonis 6. Teine andmevoog, mis on saadud teise astme C&C-st

MirrorStealer

MirrorStealer, sisemise nimega 31558_n.dll autor MirrorFace, on volikirjade varastaja. Meie teadmiste kohaselt ei ole seda pahavara avalikult kirjeldatud. Üldiselt varastab MirrorStealer mandaate erinevatest rakendustest, nagu brauserid ja e-posti kliendid. Huvitav on see, et üks sihitud rakendustest on Becky!, meiliklient, mis on praegu saadaval ainult Jaapanis. Kõik varastatud volikirjad on talletatud %TEMP%31558.txt ja kuna MirrorStealer ei saa varastatud andmeid välja filtreerida, sõltub see muust pahavarast.

Kompromissijärgsed tegevused

Uurimise käigus saime jälgida mõningaid käske, mis anti ohustatud arvutitele.

Esialgne keskkonnavaatlus

Kui ohustatud masinates käivitati LODEINFO ja need olid C&C serveriga edukalt ühendatud, hakkas operaator käske väljastama (vt joonis 7).

Joonis 7. Algne keskkonnavaatlus MirrorFace'i operaatori poolt LODEINFO kaudu

Esiteks andis operaator välja ühe LODEINFO käskudest, trükk, et jäädvustada kahjustatud masina ekraani. Sellele järgnes teine ​​käsk, ls, et näha praeguse kausta sisu, milles LODEINFO asus (st % TEMP%). Vahetult pärast seda kasutas operaator LODEINFO-t võrguteabe hankimiseks käivitamise teel võrguvaade ja võrguvaade / domeen. Esimene käsk tagastab võrku ühendatud arvutite loendi, teine ​​​​aga saadaolevate domeenide loendi.

Mandaadi ja brauseri küpsiste varastamine

Pärast selle põhiteabe kogumist liikus operaator järgmisse faasi (vt joonis 8).

Joonis 8. LODEINFO-le saadetud juhiste voog mandaadivarguse juurutamiseks, mandaatide ja brauseri küpsiste kogumiseks ning nende C&C serverisse eksfiltreerimiseks

Operaator väljastas LODEINFO käsu saada koos alamkäsuga -mälu toimetama MirrorStealer pahavara ohustatud masinasse. Alamkäsk -mälu kasutati selleks, et osutada LODEINFO-le MirrorStealeri mällu hoidmiseks, mis tähendab, et MirrorStealeri binaarfaili ei visatud kunagi kettale. Järgnevalt käsk mälu anti välja. See käsk andis LODEINFO-le korralduse võtta MirrorStealer ja süstida see loodud cmd.exe protsessi ja käivitage see.

Kui MirrorStealer oli mandaadid kokku kogunud ja salvestanud %temp%31558.txt, kasutas operaator mandaatide väljafiltreerimiseks LODEINFO-t.

Operaator tundis huvi ka ohvri brauseri küpsiste vastu. Kuid MirrorStealeril pole võimalust neid koguda. Seetõttu eemaldas operaator küpsised käsitsi LODEINFO kaudu. Esiteks kasutas operaator käsku LODEINFO dir kaustade sisu loetlemiseks %LocalAppData%GoogleChrome'i kasutajaandmed ja %LocalAppData%MicrosoftEdgeUser andmed. Seejärel kopeeris operaator kõik tuvastatud küpsisefailid faili % TEMP% kausta. Järgmisena uuris operaator käsu LODEINFO abil kõik kogutud küpsisefailid rev. Lõpuks kustutas operaator failist kopeeritud küpsisefailid % TEMP% kausta jälgi eemaldada.

Dokumentide ja e-kirjade varastamine

Järgmises etapis uuris operaator välja erinevat tüüpi dokumendid ja salvestatud meilid (vt joonis 9).

Joonis 9. LODEINFO-le saadetud juhiste voog huvipakkuvate failide väljafiltreerimiseks

Selleks kasutas operaator esmalt LODEINFO-t WinRAR-i arhiivi edastamiseks (rar.exe). Kasutamine rar.exe, operaator kogus ja arhiivis kaustadest huvipakkuvad failid, mida muudeti pärast 2022-01-01 %USERPROFILE% ja C:$Recycle.Bin. Operaator oli huvitatud kõigist sellistest laienditega failidest.dok*, .ppt*, .xls*, .jtd, .eml, .*xpsja . Pdf.

Pange tähele, et peale levinud dokumenditüüpide huvitas MirrorFace ka failid, millel on .jtd pikendamine. See esindab Jaapani tekstitöötlusprogrammi dokumente Ichitaro välja töötanud JustSystems.

Pärast arhiivi loomist tarnis operaator SCP (Secure Copy Protocol) kliendi PuTTY jätkas (pscp.exe) ja seejärel kasutas seda äsja loodud RAR-i arhiivi väljafiltreerimiseks serverisse aadressil 45.32.13[.]180. Seda IP-aadressi ei täheldatud varasema MirrorFace'i tegevuse käigus ja seda ei kasutatud C&C-serverina üheski meie vaadeldud LODEINFO pahavaras. Vahetult pärast arhiivist väljafiltreerimist kustutati operaator rar.exe, pscp.exe, ja RAR-i arhiivi tegevuse jälgede puhastamiseks.

Teise etapi LODEINFO kasutuselevõtt

Viimane samm, mida jälgisime, oli teise etapi LODEINFO edastamine (vt joonis 10).

Joonis 10. LODEINFO-le saadetud juhiste voog teise etapi LODEINFO juurutamiseks

Operaator edastas järgmised binaarfailid: JSESPR.dll, JsSchHlp.exeja vcruntime140.dll ohustatud masinale. Originaal JsSchHlp.exe on healoomuline rakendus, mille on allkirjastanud JUSTSYSTEMS CORPORATION (varem mainitud Jaapani tekstitöötlusprogrammi Ichitaro tootjad). Kuid antud juhul kuritarvitas MirrorFace'i operaator tuntud Microsofti digitaalallkirja kontrollimist probleem ja lisas RC4 krüptitud andmed JsSchHlp.exe digitaalne allkiri. Mainitud probleemi tõttu arvestab Windows siiski muudetud JsSchHlp.exe olema kehtivalt allkirjastatud.

JsSchHlp.exe on vastuvõtlik ka DLL-i külglaadimisele. Seetõttu on täitmisel istutatud JSESPR.dll on laetud (vt joonis 11).

Joonis 11. Teise etapi LODEINFO täitmisvoog

JSESPR.dll on pahatahtlik laadija, mis loeb lisatud kasulikku koormust JsSchHlp.exe, dekrüpteerib selle ja käivitab selle. Kasulik koormus on teise astme LODEINFO ja pärast käivitamist kasutas operaator tavalist LODEINFO-d, et määrata teise astme püsivus. Eelkõige juhtis operaator reg.exe utiliit nimega väärtuse lisamiseks JsSchHlp Euroopa jooks registrivõti, mis sisaldab teed JsSchHlp.exe.

Meile tundub aga, et operaatoril ei õnnestunud teise astme LODEINFO C&C serveriga korralikult suhtlema panna. Seetõttu jäävad teise etapi LODEINFO operaatori edasised sammud meile teadmata.

Huvitavad tähelepanekud

Uurimise käigus tegime paar huvitavat tähelepanekut. Üks neist on see, et operaator tegi LODEINFO-le käskude andmisel paar viga ja kirjavigu. Näiteks saatis operaator stringi cmd / c kataloog "c:use" LODEINFO-le, mis suure tõenäosusega pidigi olema cmd / c kataloog "c: kasutajad".

See viitab sellele, et operaator annab LODEINFO-le käsklusi käsitsi või poolmanuaalselt.

Meie järgmine tähelepanek on see, et kuigi operaator tegi kompromissi jälgede eemaldamiseks paar puhastust, unustas operaator kustutada %temp%31558.txt – logi, mis sisaldab varastatud mandaate. Seega jäi vähemalt see jälg ohustatud masinale ja see näitab meile, et operaator ei olnud puhastusprotsessis põhjalik.

Järeldus

MirrorFace sihib jätkuvalt Jaapanis väärtuslikke sihtmärke. Operatsioonis LiberalFace oli see konkreetselt suunatud poliitilistele üksustele, kasutades selleks eelseisvaid Volikogu liikmete valimisi. Veelgi huvitavam on see, et meie leiud näitavad, et MirrorFace keskendub eriti konkreetse erakonna liikmetele.

Operatsiooni LiberalFace uurimise käigus õnnestus meil avastada täiendavaid MirrorFace'i TTP-sid, nagu täiendava pahavara ja tööriistade juurutamine ja kasutamine ohvrite väärtuslike andmete kogumiseks ja väljafiltreerimiseks. Veelgi enam, meie uurimine näitas, et MirrorFace'i operaatorid on mõnevõrra hoolimatud, jätavad jälgi ja teevad erinevaid vigu.

IoC-d

Faile

võrk

MITER ATT&CK tehnikad

See laud on ehitatud kasutades versioon 12 MITER ATT&CK raamistikust.

Pange tähele, et kuigi see ajaveebipostitus ei anna täielikku ülevaadet LODEINFO võimalustest, kuna see teave on juba teistes väljaannetes saadaval, sisaldab allolev MITER ATT&CK tabel kõiki sellega seotud tehnikaid.