ESET-i teadlased avastasid mõni nädal enne nõukogude parlamendi valimisi Jaapani poliitilisi üksusi sihikule suunatud pettuskampaania ja avastasid selle käigus varem kirjeldamata MirrorFace'i volikirjade varastaja.
ESET-i teadlased avastasid andmepüügi kampaania, mis käivitati sellele eelnenud nädalatel Jaapani nõukogude maja valimised 2022. aasta juulis APT grupi poolt, mida ESET Research jälgib kui MirrorFace. Kampaania, mille oleme nimetanud operatsiooniks LiberalFace, oli suunatud Jaapani poliitilistele üksustele; meie uurimine näitas, et selles kampaanias olid erilise tähelepanu all konkreetse erakonna liikmed. ESET Research paljastas selle kampaania ja selle taga oleva APT grupi üksikasjad AVAR 2022 konverents selle kuu alguses.
- 2022. aasta juuni lõpus käivitas MirrorFace kampaania, mille oleme andnud nimeks Operation LiberalFace ja mis oli suunatud Jaapani poliitilistele üksustele.
- Sihtmärkidele saadeti andmepüügi e-kirjad, mis sisaldasid grupi lipulaeva tagaust LODEINFO.
- LODEINFO-t kasutati täiendava pahavara kohaletoimetamiseks, ohvri volikirjade väljafiltreerimiseks ning ohvri dokumentide ja e-kirjade varastamiseks.
- Operatsioonis LiberalFace kasutati varem kirjeldamata mandaatide varastajat, mille nimeks oleme andnud MirrorStealer.
- ESET Research viis läbi kompromissijärgsete tegevuste analüüsi, mis viitab sellele, et vaadeldud toimingud viidi läbi käsitsi või poolmanuaalselt.
- Selle kampaania üksikasju jagati aadressil AVAR 2022 konverents.
MirrorFace on hiina keelt kõnelev ohustaja, mis on suunatud Jaapanis asuvatele ettevõtetele ja organisatsioonidele. Kuigi on mõningaid oletusi, et see ohustaja võib olla seotud APT10-ga (Macnica, Kaspersky), ei saa ESET seda ühelegi teadaolevale APT-rühmale omistada. Seetõttu jälgime seda eraldi üksusena, millele oleme andnud nimeks MirrorFace. Eelkõige on MirrorFace ja LODEINFO, selle patenteeritud pahavara, mida kasutatakse ainult Jaapani sihtmärkide vastu. teatatud kui sihikule meedia, kaitsega seotud ettevõtted, mõttekojad, diplomaatilised organisatsioonid ja akadeemilised institutsioonid. MirrorFace'i eesmärk on spionaaž ja huvipakkuvate failide väljafiltreerimine.
Omistame operatsiooni LiberalFace operatsioonile MirrorFace järgmiste näitajate alusel:
- Meie teadmiste kohaselt kasutab LODEINFO pahavara ainult MirrorFace.
- Operatsiooni LiberalFace eesmärgid ühtivad traditsioonilise MirrorFace'i sihtimisega.
- Teise etapi LODEINFO pahavara näidis võttis ühendust C&C serveriga, mida jälgime MirrorFace'i infrastruktuuri osana.
Üks operatsioonis LiberalFace saadetud e-kirjadest kujutas endast konkreetse Jaapani erakonna suhtekorralduse osakonna ametlikku teadet, mis sisaldas nõunikekoja valimistega seotud taotlust, ja see saadeti väidetavalt ühe prominentse poliitiku nimel. Kõik andmepüügi e-kirjad sisaldasid pahatahtlikku manust, mis käivitamisel juurutas ohustatud masinasse LODEINFO.
Lisaks avastasime, et MirrorFace on kasutanud varem dokumenteerimata pahavara, millele oleme andnud nimeks MirrorStealer, et varastada oma sihtmärgi mandaate. Usume, et see on esimene kord, kui seda pahavara avalikult kirjeldatakse.
Selles ajaveebipostituses käsitleme täheldatud kompromissijärgseid tegevusi, sealhulgas LODEINFO-le saadetud C&C-käske toimingute läbiviimiseks. Mõjutatud masinaga tehtud teatud tegevuste põhjal arvame, et MirrorFace'i operaator andis LODEINFO-le käsud käsitsi või poolmanuaalselt.
Esialgne juurdepääs
MirrorFace alustas rünnakut 29. juunilth, 2022, levitades sihtmärkidele pahatahtliku manusega õngepüügimeile. Meili teema oli SNS用動画 拡散のお願い (tõlge Google'i tõlkest: [Tähtis] SNS-i jaoks videote levitamise taotlus). Joonisel 1 ja joonisel 2 on näidatud selle sisu.
Väidetavalt Jaapani erakonna suhtekorraldusosakond, palus MirrorFace adressaatidel levitada lisatud videoid oma sotsiaalmeedia profiilidel (SNS – Social Network Service), et tugevdada veelgi partei suhtekorraldust ja kindlustada võit nõukogude kojas. Lisaks sisaldab meil selgeid juhiseid videote avaldamisstrateegia kohta.
Kuna nõukogude maja valimised toimusid 10. juulilth, 2022, näitab see meil selgelt, et MirrorFace otsis võimalust rünnata poliitilisi üksusi. Samuti viitab meili konkreetne sisu sellele, et sihikule võeti konkreetse erakonna liikmed.
MirrorFace kasutas kampaanias ka teist e-kirja, kus manus oli pealkirjastatud 【参考】220628発・選挙管理委員会宛文書(添書分)exe (tõlge Google'i tõlkest: [Viide] 220628 Ministeeriumi dokumendid valimiste halduskomisjonile (lisa).exe. Lisatud peibutusdokumendil (näidatud joonisel 3) on viidatud ka Volikogu valimistele.
Mõlemal juhul sisaldasid e-kirjad pahatahtlikke manuseid isepakkivate WinRAR-i arhiivide kujul, millel olid petlikud nimed SNS用動画 拡散のお願いexe (tõlge Google'i tõlkest: Taotlus SNS.exe videote levitamiseks) ja 【参考】220628発・選挙管理委員会宛文書(添書分)exe (tõlge Google'i tõlkest: [Viide] 220628 Ministeeriumi dokumendid valimiste halduskomisjonile (lisa).exe võrra.
Need EXE-d ekstraheerivad oma arhiveeritud sisu % TEMP% kausta. Eelkõige ekstraheeritakse neli faili:
- K7SysMon.exe, healoomuline rakendus, mille on välja töötanud K7 Computing Pvt Ltd, mis on haavatav DLL-i otsingukäsu kaaperdamise suhtes
- K7SysMn1.dll, pahatahtlik laadija
- K7SysMon.Exe.db, krüptitud LODEINFO pahavara
- Peibutusdokument
Seejärel avatakse peibutusdokument, et sihtmärki petta ja healoomulisena näida. Viimase sammuna K7SysMon.exe käivitatakse, mis laadib pahatahtliku laadija K7SysMn1.dll kukkus selle kõrvale. Lõpuks loeb laadija selle sisu K7SysMon.Exe.db, dekrüpteerib selle ja seejärel käivitab. Pange tähele, et seda lähenemisviisi jälgis ka Kaspersky ja seda kirjeldas ka Kaspersky aru.
Tööriistakomplekt
Selles jaotises kirjeldame operatsioonis LiberalFace kasutatud pahavara MirrorFace.
LODEINFO
LODEINFO on MirrorFace'i tagauks, mida arendatakse pidevalt. JPCERT teatas esimese versiooni kohta LODEINFO (v0.1.2), mis ilmus 2019. aasta detsembri paiku; selle funktsionaalsus võimaldab jäädvustada ekraanipilte, klahvilogimist, tapmisprotsesse, failide väljafiltreerimist ning täiendavate failide ja käskude täitmist. Sellest ajast alates oleme täheldanud mitmeid muudatusi, mis on tehtud igasse selle versiooni. Näiteks versioon 0.3.8 (mille tuvastasime esmakordselt juunis 2020) lisas käsu lunaraha (mis krüpteerib määratletud failid ja kaustad) ja versioon 0.5.6 (mille tuvastasime juulis 2021) lisas käsu config, mis võimaldab operaatoritel muuta selle registrisse salvestatud konfiguratsiooni. Lisaks ülalmainitud JPCERT-i aruandlusele avaldas selle aasta alguses ka LODEINFO tagaukse üksikasjalik analüüs. Kaspersky.
Operatsioonis LiberalFace jälgisime MirrorFace'i operaatoreid, kes kasutasid nii tavalist LODEINFO kui ka seda, mida me nimetame teise etapi LODEINFO pahavaraks. Teise astme LODEINFO saab eristada tavalisest LODEINFOst, vaadates üldist funktsionaalsust. Täpsemalt, teise astme LODEINFO aktsepteerib ja käitab PE-binaarfaile ja shellkoodi väljaspool rakendatud käske. Lisaks saab teise astme LODEINFO töödelda C&C käsku config, vaid käsu funktsionaalsus lunaraha on kadunud.
Lõpuks erinevad C&C-serverist saadud andmed tavalise LODEINFO ja teise astme serveri vahel. Teise etapi LODEINFO puhul lisab C&C server tegelikele andmetele juhusliku veebilehe sisu. Vt joonis 4, joonis 5 ja joonis 6, mis kujutavad vastuvõetud andmete erinevust. Pange tähele, et eelliidetud koodilõik erineb iga vastuvõetud andmevoo puhul teise astme C&C-st.
MirrorStealer
MirrorStealer, sisemise nimega 31558_n.dll autor MirrorFace, on volikirjade varastaja. Meie teadmiste kohaselt ei ole seda pahavara avalikult kirjeldatud. Üldiselt varastab MirrorStealer mandaate erinevatest rakendustest, nagu brauserid ja e-posti kliendid. Huvitav on see, et üks sihitud rakendustest on Becky!, meiliklient, mis on praegu saadaval ainult Jaapanis. Kõik varastatud volikirjad on talletatud %TEMP%31558.txt ja kuna MirrorStealer ei saa varastatud andmeid välja filtreerida, sõltub see muust pahavarast.
Kompromissijärgsed tegevused
Uurimise käigus saime jälgida mõningaid käske, mis anti ohustatud arvutitele.
Esialgne keskkonnavaatlus
Kui ohustatud masinates käivitati LODEINFO ja need olid C&C serveriga edukalt ühendatud, hakkas operaator käske väljastama (vt joonis 7).
Esiteks andis operaator välja ühe LODEINFO käskudest, trükk, et jäädvustada kahjustatud masina ekraani. Sellele järgnes teine käsk, ls, et näha praeguse kausta sisu, milles LODEINFO asus (st % TEMP%). Vahetult pärast seda kasutas operaator LODEINFO-t võrguteabe hankimiseks käivitamise teel võrguvaade ja võrguvaade / domeen. Esimene käsk tagastab võrku ühendatud arvutite loendi, teine aga saadaolevate domeenide loendi.
Mandaadi ja brauseri küpsiste varastamine
Pärast selle põhiteabe kogumist liikus operaator järgmisse faasi (vt joonis 8).
Operaator väljastas LODEINFO käsu saada koos alamkäsuga -mälu toimetama MirrorStealer pahavara ohustatud masinasse. Alamkäsk -mälu kasutati selleks, et osutada LODEINFO-le MirrorStealeri mällu hoidmiseks, mis tähendab, et MirrorStealeri binaarfaili ei visatud kunagi kettale. Järgnevalt käsk mälu anti välja. See käsk andis LODEINFO-le korralduse võtta MirrorStealer ja süstida see loodud cmd.exe protsessi ja käivitage see.
Kui MirrorStealer oli mandaadid kokku kogunud ja salvestanud %temp%31558.txt, kasutas operaator mandaatide väljafiltreerimiseks LODEINFO-t.
Operaator tundis huvi ka ohvri brauseri küpsiste vastu. Kuid MirrorStealeril pole võimalust neid koguda. Seetõttu eemaldas operaator küpsised käsitsi LODEINFO kaudu. Esiteks kasutas operaator käsku LODEINFO dir kaustade sisu loetlemiseks %LocalAppData%GoogleChrome'i kasutajaandmed ja %LocalAppData%MicrosoftEdgeUser andmed. Seejärel kopeeris operaator kõik tuvastatud küpsisefailid faili % TEMP% kausta. Järgmisena uuris operaator käsu LODEINFO abil kõik kogutud küpsisefailid rev. Lõpuks kustutas operaator failist kopeeritud küpsisefailid % TEMP% kausta jälgi eemaldada.
Dokumentide ja e-kirjade varastamine
Järgmises etapis uuris operaator välja erinevat tüüpi dokumendid ja salvestatud meilid (vt joonis 9).
Selleks kasutas operaator esmalt LODEINFO-t WinRAR-i arhiivi edastamiseks (rar.exe). Kasutamine rar.exe, operaator kogus ja arhiivis kaustadest huvipakkuvad failid, mida muudeti pärast 2022-01-01 %USERPROFILE% ja C:$Recycle.Bin. Operaator oli huvitatud kõigist sellistest laienditega failidest.dok*, .ppt*, .xls*, .jtd, .eml, .*xpsja . Pdf.
Pange tähele, et peale levinud dokumenditüüpide huvitas MirrorFace ka failid, millel on .jtd pikendamine. See esindab Jaapani tekstitöötlusprogrammi dokumente Ichitaro välja töötanud JustSystems.
Pärast arhiivi loomist tarnis operaator SCP (Secure Copy Protocol) kliendi PuTTY jätkas (pscp.exe) ja seejärel kasutas seda äsja loodud RAR-i arhiivi väljafiltreerimiseks serverisse aadressil 45.32.13[.]180. Seda IP-aadressi ei täheldatud varasema MirrorFace'i tegevuse käigus ja seda ei kasutatud C&C-serverina üheski meie vaadeldud LODEINFO pahavaras. Vahetult pärast arhiivist väljafiltreerimist kustutati operaator rar.exe, pscp.exe, ja RAR-i arhiivi tegevuse jälgede puhastamiseks.
Teise etapi LODEINFO kasutuselevõtt
Viimane samm, mida jälgisime, oli teise etapi LODEINFO edastamine (vt joonis 10).
Operaator edastas järgmised binaarfailid: JSESPR.dll, JsSchHlp.exeja vcruntime140.dll ohustatud masinale. Originaal JsSchHlp.exe on healoomuline rakendus, mille on allkirjastanud JUSTSYSTEMS CORPORATION (varem mainitud Jaapani tekstitöötlusprogrammi Ichitaro tootjad). Kuid antud juhul kuritarvitas MirrorFace'i operaator tuntud Microsofti digitaalallkirja kontrollimist probleem ja lisas RC4 krüptitud andmed JsSchHlp.exe digitaalne allkiri. Mainitud probleemi tõttu arvestab Windows siiski muudetud JsSchHlp.exe olema kehtivalt allkirjastatud.
JsSchHlp.exe on vastuvõtlik ka DLL-i külglaadimisele. Seetõttu on täitmisel istutatud JSESPR.dll on laetud (vt joonis 11).
JSESPR.dll on pahatahtlik laadija, mis loeb lisatud kasulikku koormust JsSchHlp.exe, dekrüpteerib selle ja käivitab selle. Kasulik koormus on teise astme LODEINFO ja pärast käivitamist kasutas operaator tavalist LODEINFO-d, et määrata teise astme püsivus. Eelkõige juhtis operaator reg.exe utiliit nimega väärtuse lisamiseks JsSchHlp Euroopa jooks registrivõti, mis sisaldab teed JsSchHlp.exe.
Meile tundub aga, et operaatoril ei õnnestunud teise astme LODEINFO C&C serveriga korralikult suhtlema panna. Seetõttu jäävad teise etapi LODEINFO operaatori edasised sammud meile teadmata.
Huvitavad tähelepanekud
Uurimise käigus tegime paar huvitavat tähelepanekut. Üks neist on see, et operaator tegi LODEINFO-le käskude andmisel paar viga ja kirjavigu. Näiteks saatis operaator stringi cmd / c kataloog "c:use" LODEINFO-le, mis suure tõenäosusega pidigi olema cmd / c kataloog "c: kasutajad".
See viitab sellele, et operaator annab LODEINFO-le käsklusi käsitsi või poolmanuaalselt.
Meie järgmine tähelepanek on see, et kuigi operaator tegi kompromissi jälgede eemaldamiseks paar puhastust, unustas operaator kustutada %temp%31558.txt – logi, mis sisaldab varastatud mandaate. Seega jäi vähemalt see jälg ohustatud masinale ja see näitab meile, et operaator ei olnud puhastusprotsessis põhjalik.
Järeldus
MirrorFace sihib jätkuvalt Jaapanis väärtuslikke sihtmärke. Operatsioonis LiberalFace oli see konkreetselt suunatud poliitilistele üksustele, kasutades selleks eelseisvaid Volikogu liikmete valimisi. Veelgi huvitavam on see, et meie leiud näitavad, et MirrorFace keskendub eriti konkreetse erakonna liikmetele.
Operatsiooni LiberalFace uurimise käigus õnnestus meil avastada täiendavaid MirrorFace'i TTP-sid, nagu täiendava pahavara ja tööriistade juurutamine ja kasutamine ohvrite väärtuslike andmete kogumiseks ja väljafiltreerimiseks. Veelgi enam, meie uurimine näitas, et MirrorFace'i operaatorid on mõnevõrra hoolimatud, jätavad jälgi ja teevad erinevaid vigu.
ESET Research pakub ka privaatseid APT luurearuandeid ja andmevooge. Kui teil on selle teenuse kohta küsimusi, külastage aadressi ESET Threat Intelligence lehel.
IoC-d
Faile
SHA-1 | Faili | ESET-i tuvastamise nimi | Kirjeldus |
---|---|---|---|
F4691FF3B3ACD15653684F372285CAC36C8D0AEF | K7SysMn1.dll | Win32/Agent.ACLP | LODEINFO laadur. |
DB81C8719DDAAE40C8D9B9CA103BBE77BE4FCE6C | K7SysMon.Exe.db | N / A | Krüpteeritud LODEINFO. |
A8D2BE15085061B753FDEBBDB08D301A034CE1D5 | JsSchHlp.exe | Win32/Agent.ACLP | JsSchHlp.exe millele on lisatud krüpteeritud teise astme LODEINFO turvakataloog. |
0AB7BB3FF583E50FBF28B288E71D3BB57F9D1395 | JSESPR.dll | Win32/Agent.ACLP | Teise astme LODEINFO laadur. |
E888A552B00D810B5521002304D4F11BC249D8ED | 31558_n.dll | Win32/Agent.ACLP | MirrorStealeri volikirjade varastaja. |
võrk
IP | Provider | Esimene nähtud | Detailid |
---|---|---|---|
5.8.95[.]174 | G-Core Labs S.A. | 2022-06-13 | LODEINFO C&C server. |
45.32.13[.]180 | AS-CHOOPA | 2022-06-29 | Server andmete väljafiltreerimiseks. |
103.175.16[.]39 | Gigabit-hosting Sdn Bhd | 2022-06-13 | LODEINFO C&C server. |
167.179.116[.]56 | AS-CHOOPA | 2021-10-20 | www.ninesmn[.]com, teise astme LODEINFO C&C server. |
172.105.217[.]233 | Linode, LLC | 2021-11-14 | www.aesorunwe[.]com, teise astme LODEINFO C&C server. |
MITER ATT&CK tehnikad
See laud on ehitatud kasutades versioon 12 MITER ATT&CK raamistikust.
Pange tähele, et kuigi see ajaveebipostitus ei anna täielikku ülevaadet LODEINFO võimalustest, kuna see teave on juba teistes väljaannetes saadaval, sisaldab allolev MITER ATT&CK tabel kõiki sellega seotud tehnikaid.
Taktika | ID | Nimi | Kirjeldus |
---|---|---|---|
Esialgne juurdepääs | T1566.001 | Andmepüük: andmepüügimanus | Andmepüügi e-kirjale on lisatud pahatahtlik WinRAR SFX arhiiv. |
Täitmine | T1106 | Natiivne API | LODEINFO saab faile käivitada kasutades Loo protsessA API. |
T1204.002 | Kasutaja täitmine: pahatahtlik fail | MirrorFace'i operaatorid toetuvad sellele, et ohver avab meili teel saadetud pahatahtliku manuse. | |
T1559.001 | Protsessidevaheline suhtlus: komponentobjektimudel | LODEINFO saab käske täita komponentobjektimudeli kaudu. | |
Püsivus | T1547.001 | Käivitamise või sisselogimise automaatse käivitamise täitmine: Registry Run Keys / Startup Folder | LODEINFO lisab kirje HKCU jooks võti püsivuse tagamiseks.
Vaatlesime, kuidas MirrorFace'i operaatorid lisasid käsitsi kirje HKCU jooks võti, et tagada LODEINFO teise etapi püsivus. |
Kaitsest kõrvalehoidmine | T1112 | Muuda registrit | LODEINFO saab oma konfiguratsiooni registris salvestada. |
T1055 | Protsessi süstimine | LODEINFO saab sisestada shellkoodi cmd.exe. | |
T1140 | Failide või teabe deobfuskeerimine/dekodeerimine | LODEINFO laadur dekrüpteerib kasuliku koormuse, kasutades ühebaidist XOR-i või RC4. | |
T1574.002 | Kaaperdamise voog: DLL-i külglaadimine | MirrorFace laadib LODEINFO külgmiselt, loobudes pahatahtliku teegi ja seadusliku käivitatava faili (nt K7SysMon.exe). | |
avastus | T1082 | Süsteemi teabe avastamine | LODEINFO võtab ohustatud masinalt sõrmejäljed. |
T1083 | Failide ja kataloogide avastamine | LODEINFO saab hankida failide ja kataloogide loendeid. | |
T1057 | Protsessi avastamine | LODEINFO saab loetleda jooksvaid protsesse. | |
T1033 | Süsteemi omaniku/kasutaja avastamine | LODEINFO saab hankida ohvri kasutajanime. | |
T1614.001 | Süsteemi asukoha tuvastamine: süsteemi keele avastamine | LODEINFO kontrollib süsteemi keelt, et veenduda, et see ei tööta inglise keelt kasutama seadistatud masinas. | |
kogumine | T1560.001 | Arhiivige kogutud andmed: arhiivige utiliidi kaudu | Vaatlesime, et MirrorFace'i operaatorid arhiveerisid kogutud andmeid RAR-arhiivi abil. |
T1114.001 | Meilikogu: kohalik meilikogu | Vaatlesime MirrorFace'i operaatoreid, kes kogusid salvestatud meilisõnumeid. | |
T1056.001 | Sisendhõive: klahvilogimine | LODEINFO teostab klahvilogimist. | |
T1113 | Screen Capture | LODEINFO saab ekraanipildi. | |
T1005 | Andmed kohalikust süsteemist | Vaatlesime, kuidas MirrorFace'i operaatorid kogusid ja uurisid huvipakkuvaid andmeid. | |
Juhtimine ja kontroll | T1071.001 | Rakenduskihi protokoll: veebiprotokollid | LODEINFO kasutab oma C&C-serveriga suhtlemiseks HTTP-protokolli. |
T1132.001 | Andmete kodeerimine: standardne kodeering | LODEINFO kasutab oma C&C liikluse kodeerimiseks URL-i turvalist base64. | |
T1573.001 | Krüpteeritud kanal: sümmeetriline krüptograafia | LODEINFO kasutab C&C liikluse krüptimiseks AES-256-CBC-d. | |
T1001.001 | Andmete hägustamine: rämpsandmed | Teise etapi LODEINFO C&C lisab saadetud andmetele rämpsposti. | |
Välja filtreerimine | T1041 | Eksfiltratsioon C2 kanali kaudu | LODEINFO saab faile C&C serverisse eksfiltreerida. |
T1071.002 | Rakenduskihi protokoll: failiedastusprotokollid | Vaatlesime MirrorFace'i, kasutades kogutud andmete väljafiltreerimiseks turvalist kopeerimisprotokolli (SCP). | |
mõju | T1486 | Andmed on mõju jaoks krüpteeritud | LODEINFO suudab ohvri masinas olevaid faile krüptida. |
- blockchain
- coingenius
- krüptovaluuta rahakotid
- krüptovahetus
- küberturvalisus
- küberkurjategijad
- Küberturvalisus
- sisejulgeoleku osakond
- digitaalsed rahakotid
- ESET-i uuringud
- tulemüüri
- Kaspersky
- malware
- mcafee
- NexBLOC
- Platon
- plato ai
- Platoni andmete intelligentsus
- Platoni mäng
- PlatoData
- platogaming
- VPN
- Me elame turvaliselt
- kodulehel turvalisus
- sephyrnet