Unmasking MirrorFace: عملیات LiberalFace که نهادهای سیاسی ژاپن را هدف قرار می دهد

محققان ESET یک کمپین spearphishing را کشف کردند که در هفته های قبل از آن راه اندازی شد انتخابات مجلس شورای ژاپن در جولای 2022، توسط گروه APT که ESET Research به عنوان MirrorFace ردیابی می کند. این کمپین که ما آن را عملیات لیبرال فیس نام گذاری کرده ایم، نهادهای سیاسی ژاپن را هدف قرار داده است. تحقیقات ما نشان داد که اعضای یک حزب سیاسی خاص در این کمپین تمرکز خاصی داشتند. ESET Research جزئیات این کمپین و گروه APT را که پشت آن قرار دارد، آشکار کرد کنفرانس AVAR 2022 در ابتدای این ماه

MirrorFace یک عامل تهدید چینی زبان است که شرکت ها و سازمان های مستقر در ژاپن را هدف قرار می دهد. در حالی که برخی گمانه زنی ها وجود دارد که این عامل تهدید ممکن است با APT10 مرتبط باشد (مکانیکا, کسپرسکی، ESET نمی تواند آن را به هیچ گروه APT شناخته شده نسبت دهد. بنابراین، ما آن را به عنوان یک موجودیت جداگانه که MirrorFace نامگذاری کرده ایم، ردیابی می کنیم. به ویژه، MirrorFace و LODEINFO، بدافزار اختصاصی آن که به طور انحصاری علیه اهداف در ژاپن مورد استفاده قرار می گیرد، مورد استفاده قرار گرفته است. گزارش به عنوان هدف قرار دادن رسانه ها، شرکت های مرتبط با دفاع، اتاق های فکر، سازمان های دیپلماتیک و موسسات دانشگاهی. هدف MirrorFace جاسوسی و استخراج فایل های مورد علاقه است.

ما عملیات LiberalFace را بر اساس این شاخص ها به MirrorFace نسبت می دهیم:

• تا آنجا که ما می دانیم، بدافزار LODEINFO منحصراً توسط MirrorFace استفاده می شود.
• اهداف عملیات LiberalFace با هدف گیری سنتی MirrorFace همسو می شوند.
• یک نمونه بدافزار مرحله دوم LODEINFO با یک سرور C&C که ما به عنوان بخشی از زیرساخت MirrorFace به صورت داخلی ردیابی می کنیم، تماس گرفت.

یکی از ایمیل‌های spearphishing ارسال شده در عملیات LiberalFace به عنوان یک ارتباط رسمی از بخش روابط عمومی یک حزب سیاسی خاص ژاپنی است که حاوی درخواستی مربوط به انتخابات مجلس شورای اسلامی است و ظاهراً از طرف یک سیاستمدار برجسته ارسال شده است. همه ایمیل‌های spearphishing حاوی یک پیوست مخرب بودند که پس از اجرا، LODEINFO را روی دستگاه در معرض خطر مستقر می‌کردند.

علاوه بر این، ما متوجه شدیم که MirrorFace از بدافزاری که قبلاً مستند نشده بود، که ما آن را MirrorStealer نامیدیم، برای سرقت اطلاعات کاربری هدف خود استفاده کرده است. ما معتقدیم این اولین باری است که این بدافزار به صورت عمومی توضیح داده می شود.

در این وبلاگ، ما فعالیت های مشاهده شده پس از سازش، از جمله دستورات C&C ارسال شده به LODEINFO برای انجام اقدامات را پوشش می دهیم. بر اساس فعالیت‌های خاصی که روی دستگاه آسیب‌دیده انجام شده است، فکر می‌کنیم که اپراتور MirrorFace دستورات را به صورت دستی یا نیمه دستی به LODEINFO صادر کرده است.

دسترسی اولیه

MirrorFace حمله را در 29 ژوئن آغاز کرد^th، 2022، توزیع ایمیل های spearphishing با یک پیوست مخرب به اهداف. موضوع ایمیل بود SNS用動画 拡散のお願い (ترجمه از Google Translate: [مهم] درخواست پخش ویدیو برای SNS). شکل 1 و شکل 2 محتوای آن را نشان می دهد.

شکل 2. نسخه ترجمه شده

MirrorFace که ظاهراً بخش روابط عمومی یک حزب سیاسی ژاپنی است، از گیرندگان درخواست کرد که ویدیوهای پیوست شده را در نمایه های رسانه های اجتماعی خود (SNS – خدمات شبکه اجتماعی) توزیع کنند تا روابط عمومی حزب را بیشتر تقویت کنند و پیروزی در مجلس شوراها را تضمین کنند. علاوه بر این، ایمیل دستورالعمل‌های واضحی در مورد استراتژی انتشار ویدیوها ارائه می‌کند.

از آنجایی که انتخابات مجلس شورای اسلامی در 10 جولای برگزار شد^th، 2022، این ایمیل به وضوح نشان می دهد که MirrorFace به دنبال فرصتی برای حمله به نهادهای سیاسی بوده است. همچنین، محتوای خاص در ایمیل نشان می دهد که اعضای یک حزب سیاسی خاص هدف قرار گرفته اند.

MirrorFace همچنین در این کمپین از ایمیل دیگری با نام spearphishing استفاده کرد، جایی که عنوان پیوست بود 【参考】220628発・選挙管理委員会宛文書（添書分）.فایل اجرایی (ترجمه از گوگل ترنسلیت: [مرجع] 220628 اسناد وزارت به کمیته مدیریت انتخابات (پیوست).exe). سند فریب پیوست (نشان داده شده در شکل 3) به انتخابات مجلس شورای اسلامی نیز اشاره دارد.

شکل 3. سند فریب نشان داده شده به هدف

در هر دو مورد، ایمیل‌ها حاوی پیوست‌های مخرب به شکل آرشیوهای WinRAR با نام‌های فریبنده SNS هستند用動画 拡散のお願い.فایل اجرایی (ترجمه از گوگل ترنسلیت: درخواست پخش ویدئو برای SNS.exe) و 【参考】220628発・選挙管理委員会宛文書（添書分）.فایل اجرایی (ترجمه از گوگل ترنسلیت: [مرجع] 220628 اسناد وزارت به کمیته مدیریت انتخابات (پیوست).exe) بود.

این EXE ها محتوای آرشیو شده خود را در داخل استخراج می کنند ٪ TEMP٪ پوشه به طور خاص، چهار فایل استخراج می شود:

• K7SysMon.exe، یک برنامه کاربردی خوش خیم که توسط K7 Computing Pvt Ltd در برابر ربودن سفارش جستجوی DLL آسیب پذیر است
• K7SysMn1.dll، یک لودر مخرب
• K7SysMon.Exe.db، بدافزار LODEINFO رمزگذاری شده است
• یک سند فریب

سپس سند فریب برای فریب هدف و ظاهر خوش خیم باز می شود. به عنوان آخرین مرحله، K7SysMon.exe اجرا می شود که لودر مخرب را بارگذاری می کند K7SysMn1.dll کنارش افتاد در نهایت لودر محتوای آن را می خواند K7SysMon.Exe.db، آن را رمزگشایی می کند و سپس اجرا می کند. توجه داشته باشید که این رویکرد توسط Kaspersky نیز مشاهده شده و در آنها توضیح داده شده است گزارش.

مجموعه ابزار

در این بخش، بدافزار MirrorFace مورد استفاده در عملیات LiberalFace را شرح می دهیم.

LODEINFO

LODEINFO یک درب پشتی MirrorFace است که به طور مداوم در حال توسعه است. JPCERT در مورد نسخه اول گزارش شده است از LODEINFO (نسخه 0.1.2)، که در حدود دسامبر 2019 ظاهر شد. عملکرد آن امکان گرفتن اسکرین شات، keylogging، کشتن فرآیندها، استخراج فایل ها، و اجرای فایل ها و دستورات اضافی را فراهم می کند. از آن زمان، ما شاهد تغییرات متعددی در هر یک از نسخه های آن هستیم. به عنوان مثال، نسخه 0.3.8 (که ما برای اولین بار در ژوئن 2020 شناسایی کردیم) دستور ransom را اضافه کرد (که فایل ها و پوشه های تعریف شده را رمزگذاری می کند) و نسخه 0.5.6 (که در ژوئیه 2021 شناسایی کردیم) این دستور را اضافه کرد. پیکربندی، که به اپراتورها اجازه می دهد تا پیکربندی ذخیره شده در رجیستری را تغییر دهند. علاوه بر گزارش JPCERT که در بالا ذکر شد، تحلیل مفصلی از درپشتی LODEINFO نیز در اوایل سال جاری توسط کسپرسکی.

در عملیات LiberalFace، ما اپراتورهای MirrorFace را مشاهده کردیم که هم از بدافزار LODEINFO معمولی و هم از بدافزار مرحله دوم LODEINFO استفاده می‌کردند. LODEINFO مرحله دوم را می توان با نگاه کردن به عملکرد کلی از LODEINFO معمولی متمایز کرد. به طور خاص، LODEINFO مرحله دوم، باینری های PE و پوسته کد را خارج از دستورات اجرا شده می پذیرد و اجرا می کند. علاوه بر این، LODEINFO مرحله دوم می تواند دستور C&C را پردازش کند پیکربندی، اما عملکرد برای دستور خون بها گم شده است

در نهایت، داده های دریافت شده از سرور C&C بین LODEINFO معمولی و مرحله دوم متفاوت است. برای مرحله دوم LODEINFO، سرور C&C محتوای تصادفی صفحه وب را به داده های واقعی اضافه می کند. به شکل 4، شکل 5، و شکل 6 که تفاوت داده های دریافتی را نشان می دهد، نگاه کنید. توجه داشته باشید که قطعه کد از پیش تعیین شده برای هر جریان داده دریافتی از مرحله دوم C&C متفاوت است.

شکل 4. داده های دریافت شده از مرحله اول LODEINFO C&C

شکل 5. داده های دریافت شده از مرحله دوم C&C

شکل 6. جریان داده دیگری که از مرحله دوم C&C دریافت شد

MirrorStealer

MirrorStealer، با نام داخلی 31558_n.dll توسط MirrorFace، یک دزد اعتبار است. تا جایی که ما می دانیم، این بدافزار به صورت عمومی توضیح داده نشده است. به طور کلی، MirrorStealer اعتبارنامه‌ها را از برنامه‌های مختلف مانند مرورگرها و کلاینت‌های ایمیل می‌دزدد. جالب اینجاست که یکی از برنامه های هدفمند است بکی!، یک سرویس گیرنده ایمیل که در حال حاضر فقط در ژاپن در دسترس است. تمام اطلاعات کاربری دزدیده شده در آن ذخیره می شود %TEMP%31558.txt و از آنجایی که MirrorStealer توانایی استخراج اطلاعات دزدیده شده را ندارد، انجام آن به بدافزارهای دیگر بستگی دارد.

فعالیت های پس از سازش

در طول تحقیقات خود، توانستیم برخی از دستوراتی را که برای کامپیوترهای در معرض خطر صادر شده بود، مشاهده کنیم.

مشاهده اولیه محیط

هنگامی که LODEINFO روی ماشین های در معرض خطر راه اندازی شد و آنها با موفقیت به سرور C&C متصل شدند، یک اپراتور شروع به صدور دستورات کرد (شکل 7 را ببینید).

شکل 7. مشاهده اولیه محیط توسط اپراتور MirrorFace از طریق LODEINFO

ابتدا اپراتور یکی از دستورات LODEINFO را صادر کرد. چاپ، برای گرفتن صفحه نمایش دستگاه در معرض خطر. به دنبال آن دستور دیگری صادر شد، ls، برای دیدن محتوای پوشه فعلی که LODEINFO در آن قرار دارد (یعنی ٪ TEMP٪). بلافاصله پس از آن، اپراتور از LODEINFO برای به دست آوردن اطلاعات شبکه با اجرا استفاده کرد نمای خالص و نمای شبکه / دامنه. دستور اول لیست رایانه های متصل به شبکه را برمی گرداند، در حالی که دستور دوم لیست دامنه های موجود را برمی گرداند.

سرقت اطلاعات اعتبار و کوکی مرورگر

با جمع آوری این اطلاعات اولیه، اپراتور به مرحله بعدی رفت (شکل 8 را ببینید).

شکل 8. جریان دستورالعمل های ارسال شده به LODEINFO برای استقرار دزد اعتبار، جمع آوری اعتبارنامه ها و کوکی های مرورگر، و استخراج آنها به سرور C&C

اپراتور دستور ارسال LODEINFO را با فرمان فرعی صادر کرد خاطره رساندن MirrorStealer بدافزار به دستگاه در معرض خطر. فرمان فرعی خاطره برای نشان دادن به LODEINFO استفاده شد تا MirrorStealer را در حافظه خود نگه دارد، به این معنی که باینری MirrorStealer هرگز روی دیسک رها نشده است. متعاقباً دستور حافظه صادر شد. این دستور به LODEINFO دستور داد تا MirrorStealer را بگیرد و آن را به اسپاون تزریق کند cmd.exe را پردازش کنید و آن را اجرا کنید.

زمانی که MirrorStealer اعتبارنامه ها را جمع آوری کرد و در آن ذخیره کرد %temp%31558.txt، اپراتور از LODEINFO برای استخراج اعتبار استفاده کرد.

اپراتور به کوکی های مرورگر قربانی نیز علاقه مند بود. با این حال، MirrorStealer توانایی جمع آوری آن ها را ندارد. بنابراین، اپراتور کوکی ها را به صورت دستی از طریق LODEINFO استخراج می کند. ابتدا اپراتور از دستور LODEINFO استفاده کرد دیر برای فهرست کردن محتویات پوشه ها %LocalAppData%GoogleChromeUser Data و %LocalAppData%MicrosoftEdgeUser Data. سپس، اپراتور تمام فایل های کوکی شناسایی شده را در آن کپی کرد ٪ TEMP٪ پوشه در مرحله بعد، اپراتور تمام فایل های کوکی جمع آوری شده را با استفاده از دستور LODEINFO استخراج کرد تجدید. در نهایت اپراتور فایل های کوکی کپی شده را از روی صفحه حذف کرد ٪ TEMP٪ پوشه در تلاش برای حذف ردیابی.

سرقت اسناد و ایمیل

در مرحله بعد، اپراتور اسناد انواع مختلف و همچنین ایمیل های ذخیره شده را استخراج کرد (شکل 9 را ببینید).

شکل 9. جریان دستورالعمل های ارسال شده به LODEINFO برای استخراج فایل های مورد علاقه

برای آن، اپراتور ابتدا از LODEINFO برای تحویل بایگانی WinRAR استفاده کرد (rar.exe) استفاده كردن rar.exe، اپراتور فایل های مورد علاقه را که پس از 2022-01-01 اصلاح شده اند را از پوشه ها جمع آوری و بایگانی کرد. %USERPROFILE% و C:$Recycle.Bin. اپراتور به همه این گونه فایل ها با پسوند علاقه مند بود.سند*, ppt.*, xls.*, jtd, .eml, .*xpsو پی دی اف.

توجه داشته باشید که علاوه بر انواع سند رایج، MirrorFace به فایل‌هایی با این نیز علاقه داشت jtd افزونه. این نشان دهنده اسناد واژه پرداز ژاپنی است ایچیتارو توسط JustSystems توسعه یافته است.

هنگامی که بایگانی ایجاد شد، اپراتور مشتری پروتکل کپی امن (SCP) را از توله سگ ادامه داد (pscp.exe) و سپس از آن برای استخراج آرشیو RAR تازه ایجاد شده در سرور استفاده کرد 45.32.13[.]180. این آدرس IP در فعالیت قبلی MirrorFace مشاهده نشده بود و به عنوان یک سرور C&C در هیچ بدافزار LODEINFO که مشاهده کرده‌ایم استفاده نشده بود. درست پس از استخراج بایگانی، اپراتور حذف شد rar.exe, pscp.exe، و بایگانی RAR برای پاکسازی آثار فعالیت.

استقرار مرحله دوم LODEINFO

آخرین مرحله ای که مشاهده کردیم تحویل مرحله دوم LODEINFO بود (شکل 10 را ببینید).

شکل 10. جریان دستورالعمل های ارسال شده به LODEINFO برای استقرار LODEINFO مرحله دوم

اپراتور باینری های زیر را تحویل داد: JSESPR.dll, JsSchHlp.exeو vcruntime140.dll به ماشین در معرض خطر. اصلی JsSchHlp.exe یک برنامه کاربردی خوش خیم است که توسط JUSTSYSTEMS CORPORATION (سازندگان واژه پرداز ژاپنی که قبلاً ذکر شد، Ichitaro) امضا شده است. با این حال، در این مورد اپراتور MirrorFace از تأیید امضای دیجیتالی شناخته شده مایکروسافت سوء استفاده کرد موضوع و داده های رمزگذاری شده RC4 را به آن اضافه کرد JsSchHlp.exe امضای دیجیتالی. با توجه به موضوع ذکر شده، ویندوز همچنان اصلاح شده را در نظر می گیرد JsSchHlp.exe معتبر امضا شود

JsSchHlp.exe همچنین مستعد بارگذاری جانبی DLL است. بنابراین، پس از اعدام، کاشته شده است JSESPR.dll بارگذاری شده است (شکل 11 را ببینید).

شکل 11. جریان اجرای مرحله دوم LODEINFO

JSESPR.dll یک لودر مخرب است که بار ضمیمه شده را از آن می خواند JsSchHlp.exe، آن را رمزگشایی می کند و اجرا می کند. محموله LODEINFO مرحله دوم است و پس از اجرا، اپراتور از LODEINFO معمولی برای تنظیم پایداری مرحله دوم استفاده کرد. به طور خاص، اپراتور اجرا کرد reg.exe ابزار برای اضافه کردن یک مقدار به نام JsSchHlp به دویدن کلید رجیستری که مسیر را نگه می دارد JsSchHlp.exe.

با این حال، به نظر می رسد که اپراتور نتوانسته است LODEINFO مرحله دوم را به درستی با سرور C&C ارتباط برقرار کند. بنابراین، هر مرحله بعدی اپراتور با استفاده از LODEINFO مرحله دوم برای ما ناشناخته باقی می ماند.

مشاهدات جالب

در طول بررسی، ما چند مشاهدات جالب انجام دادیم. یکی از آنها این است که اپراتور هنگام صدور دستورات به LODEINFO چند اشتباه و اشتباه تایپی داشته است. به عنوان مثال، اپراتور رشته را ارسال کرد cmd /c dir "c:use" به LODEINFO، که به احتمال زیاد قرار بود چنین باشد cmd /c dir "c:users".

این نشان می دهد که اپراتور در حال صدور دستورات به LODEINFO به صورت دستی یا نیمه دستی است.

مشاهدات بعدی ما این است که حتی اگر اپراتور چند پاکسازی را برای حذف آثاری از سازش انجام داد، اپراتور فراموش کرد که حذف کند. %temp%31558.txt - گزارشی که حاوی مدارک به سرقت رفته است. بنابراین حداقل این رد روی دستگاه آسیب دیده باقی مانده است و به ما نشان می دهد که اپراتور در فرآیند پاکسازی دقیق نبوده است.

نتیجه

MirrorFace همچنان به اهداف با ارزش در ژاپن ادامه می دهد. در عملیات لیبرال فیس، به طور خاص نهادهای سیاسی را هدف قرار داد که از انتخابات آتی مجلس شوراها به نفع خود استفاده کردند. جالب‌تر اینکه، یافته‌های ما نشان می‌دهد که MirrorFace به ویژه بر اعضای یک حزب سیاسی خاص متمرکز شده است.

در طول تحقیقات عملیات LiberalFace، ما موفق شدیم که TTPهای MirrorFace بیشتری مانند استقرار و استفاده از بدافزارها و ابزارهای اضافی برای جمع‌آوری و استخراج داده‌های ارزشمند از قربانیان را کشف کنیم. علاوه بر این، بررسی های ما نشان داد که اپراتورهای MirrorFace تا حدودی بی احتیاط هستند و ردپایی از خود به جای می گذارند و اشتباهات مختلفی را مرتکب می شوند.

IoC ها

فایل ها

شبکه ارتباطی

تکنیک های MITER ATT&CK

این جدول با استفاده از 12 نسخه چارچوب MITER ATT&CK.

توجه داشته باشید که اگرچه این وبلاگ یک نمای کلی از قابلیت‌های LODEINFO ارائه نمی‌کند، زیرا این اطلاعات از قبل در نشریات دیگر موجود است، جدول MITER ATT&CK زیر شامل تمام تکنیک‌های مرتبط با آن است.