MirrorFacen paljastaminen: Operation LiberalFace, joka kohdistuu Japanin poliittisiin yksiköihin

ESET-tutkijat löysivät huijauskampanjan, joka käynnistettiin viikkoja edeltäneiden viikkojen aikana Japanin parlamenttivaalit heinäkuussa 2022 APT-ryhmä, jota ESET Research seuraa nimellä MirrorFace. Kampanja, jolle olemme nimenneet Operation LiberalFace, kohdistui Japanin poliittisiin kokonaisuuksiin; Tutkimuksemme paljasti, että tietyn poliittisen puolueen jäsenet olivat erityisen huomion kohteena tässä kampanjassa. ESET Research paljasti yksityiskohtia tästä kampanjasta ja sen takana olevasta APT-ryhmästä AVAR 2022 konferenssi tämän kuukauden alussa.

MirrorFace on kiinaa puhuva uhkatoimija, joka kohdistuu Japanissa sijaitseviin yrityksiin ja organisaatioihin. Vaikka jonkin verran spekuloidaan, että tämä uhkatoimija voisi liittyä APT10:een (Macnica, Kaspersky), ESET ei voi liittää sitä mihinkään tunnettuun APT-ryhmään. Siksi seuraamme sitä erillisenä kokonaisuutena, jolle olemme antaneet nimemme MirrorFace. Erityisesti MirrorFace ja LODEINFO, sen patentoidut haittaohjelmat, joita käytetään yksinomaan kohteisiin Japanissa, ovat olleet raportoitu suunnattu medialle, puolustukseen liittyville yrityksille, ajatushautoille, diplomaattijärjestöille ja akateemisille instituutioille. MirrorFacen tavoitteena on vakoilu ja kiinnostavien tiedostojen suodattaminen.

Määritämme Operation LiberalFacen MirrorFacen seuraavien indikaattoreiden perusteella:

• Tietojemme mukaan MirrorFace käyttää yksinomaan LODEINFO-haittaohjelmia.
• Operation LiberalFacen tavoitteet ovat linjassa perinteisen MirrorFace-kohdistuksen kanssa.
• Toisen vaiheen LODEINFO-haittaohjelmanäyte otti yhteyttä C&C-palvelimeen, jota seuraamme sisäisesti osana MirrorFace-infrastruktuuria.

Yksi Operation LiberalFacessa lähetetyistä huijaussähköpostiviesteistä esiintyi tietyn japanilaisen poliittisen puolueen PR-osaston virallisena viestinä, joka sisälsi pyynnön, joka liittyi House of Councilors -vaaleihin, ja se lähetettiin kuuluisan poliitikon puolesta. Kaikki huijausviestit sisälsivät haitallisen liitteen, joka suorituksen jälkeen otti LODEINFO:n käyttöön vaarantuneelle koneelle.

Lisäksi havaitsimme, että MirrorFace on käyttänyt aiemmin dokumentoimatonta haittaohjelmaa, jolle olemme antaneet nimeksi MirrorStealer, varastaakseen kohteensa tunnistetiedot. Uskomme, että tämä on ensimmäinen kerta, kun tämä haittaohjelma on kuvattu julkisesti.

Tässä blogikirjoituksessa käsittelemme havaittuja kompromissin jälkeisiä toimintoja, mukaan lukien LODEINFOlle lähetetyt C&C-komennot toimintojen suorittamiseksi. Tiettyjen kyseisellä koneella suoritettujen toimintojen perusteella uskomme, että MirrorFace-operaattori antoi komentoja LODEINFO:lle manuaalisesti tai puolimanuaalisesti.

Alkuperäinen pääsy

MirrorFace aloitti hyökkäyksen 29. kesäkuuta^th, 2022, jakaa haitallisia liitteitä sisältäviä huijausviestejä kohteille. Sähköpostin aihe oli SNS用動画 拡散のお願い (käännös Google-kääntäjästä: [Tärkeää] Pyyntö videoiden levittämiseksi SNS:lle). Kuva 1 ja kuva 2 esittävät sen sisällön.

Kuva 2. Käännetty versio

Japanilaisen poliittisen puolueen PR-osastoksi väitetty MirrorFace pyysi vastaanottajia jakamaan liitteenä olevia videoita omissa sosiaalisen median profiileissaan (SNS – Social Network Service) vahvistaakseen entisestään puolueen PR-toimintaa ja varmistaakseen voiton valtuustohuoneessa. Lisäksi sähköpostissa on selkeät ohjeet videoiden julkaisustrategiasta.

Koska valtuuston vaalit pidettiin 10. heinäkuuta^th, 2022, tämä sähköposti osoittaa selvästi, että MirrorFace etsi mahdollisuutta hyökätä poliittisten tahojen kimppuun. Lisäksi sähköpostin tietty sisältö osoittaa, että kohteena on tietyn poliittisen puolueen jäsenet.

MirrorFace käytti kampanjassa myös toista huijaussähköpostia, jossa liite oli otsikoitu 【参考】220628発・選挙管理委員会宛文書（添書分）. Exe (käännös Google-kääntäjästä: [Viite] 220628 Asiakirjat ministeriöltä vaalihallintokomitealle (liite).exe. Liitteenä oleva houkutusasiakirja (näkyy kuvassa 3) viittaa myös House of Councilors -vaaleihin.

Kuva 3. Kohteeseen näytettävä houkutusasiakirja

Molemmissa tapauksissa sähköpostit sisälsivät haitallisia liitteitä itsepurkautuvien WinRAR-arkistojen muodossa petollisilla nimillä SNS用動画 拡散のお願い. Exe (käännös Google-kääntäjästä: Pyyntö SNS.exe-videoiden levittämiseksi) ja 【参考】220628発・選挙管理委員会宛文書（添書分）. Exe (käännös Google-kääntäjästä: [Viite] 220628 Asiakirjat ministeriöltä vaalihallintokomitealle (liite).exe vastaavasti.

Nämä EXE:t poimivat arkistoidun sisällönsä % TEMP% kansio. Erityisesti neljä tiedostoa puretaan:

• K7SysMon.exeK7 Computing Pvt Ltd:n kehittämä hyvänlaatuinen sovellus, joka on alttiina DLL-hakutilausten kaappaukselle
• K7SysMn1.dll, haitallinen latausohjelma
• K7SysMon.Exe.db, salattu LODEINFO-haittaohjelma
• Huijausasiakirja

Sitten houkutusasiakirja avataan kohteen huijaamiseksi ja hyvänlaatuiselta näyttämiseksi. Viimeisenä askeleena K7SysMon.exe suoritetaan, joka lataa haitallisen latausohjelman K7SysMn1.dll pudonnut sen viereen. Lopuksi lataaja lukee sisällön K7SysMon.Exe.db, purkaa sen ja suorittaa sen sitten. Huomaa, että myös Kaspersky havaitsi tämän lähestymistavan, ja se kuvattiin heidän julkaisussaan raportti.

työkalusarja

Tässä osiossa kuvataan Operation LiberalFacessa käytetty MirrorFace-haittaohjelma.

LODEINFO

LODEINFO on MirrorFace-takaovi, jota kehitetään jatkuvasti. JPCERT kertoi ensimmäisestä versiosta LODEINFO (v0.1.2), joka ilmestyi noin joulukuussa 2019; sen toiminnot mahdollistavat kuvakaappausten kaappaamisen, näppäinlokituksen, tappamisprosessit, tiedostojen poistamisen ja lisätiedostojen ja komentojen suorittamisen. Sen jälkeen olemme havainneet useita muutoksia jokaiseen sen versioon. Esimerkiksi versio 0.3.8 (jonka havaitsimme ensimmäisen kerran kesäkuussa 2020) lisäsi komennon ransom (joka salaa määritetyt tiedostot ja kansiot) ja versio 0.5.6 (jonka havaitsimme heinäkuussa 2021) lisäsi komennon. config, jonka avulla käyttäjät voivat muokata sen rekisteriin tallennettuja määrityksiä. Yllä mainitun JPCERT-raportoinnin lisäksi yksityiskohtainen analyysi LODEINFO-takaovesta julkaisi aiemmin tänä vuonna. Kaspersky.

Operaatiossa LiberalFace havaitsimme MirrorFace-operaattoreita käyttävän sekä tavallista LODEINFO-ohjelmaa että niin kutsuttua toisen vaiheen LODEINFO-haittaohjelmaa. Toisen vaiheen LODEINFO voidaan erottaa tavallisesta LODEINFOsta katsomalla yleistä toiminnallisuutta. Erityisesti toisen vaiheen LODEINFO hyväksyy ja suorittaa PE-binaarit ja shell-koodin toteutettujen komentojen ulkopuolella. Lisäksi toisen vaiheen LODEINFO voi käsitellä C&C-komennon config, mutta komennon toiminnallisuus lunnaat puuttuu.

Lopuksi C&C-palvelimelta vastaanotettu data eroaa tavallisen LODEINFO:n ja toisen vaiheen välillä. Toisen vaiheen LODEINFO:ssa C&C-palvelin liittää satunnaisen verkkosivun sisällön todellisiin tietoihin. Katso kuva 4, kuva 5 ja kuva 6, jotka kuvaavat vastaanotetun datan eroa. Huomaa, että lisätty koodinpätkä eroaa jokaisen vastaanotetun datavirran osalta toisen vaiheen C&C:stä.

Kuva 4. Ensimmäisen vaiheen LODEINFO C&C:stä saadut tiedot

Kuva 5. Toisen vaiheen C&C:sta saadut tiedot

Kuva 6. Toinen toisen vaiheen C&C:ltä vastaanotettu datavirta

MirrorStealer

MirrorStealer, sisäinen nimi 31558_n.dll by MirrorFace, on valtuustietojen varastaja. Tietojemme mukaan tätä haittaohjelmaa ei ole kuvattu julkisesti. Yleensä MirrorStealer varastaa kirjautumistiedot eri sovelluksista, kuten selaimista ja sähköpostiohjelmista. Mielenkiintoista on, että yksi kohdistetuista sovelluksista on Becky!, sähköpostiohjelma, joka on tällä hetkellä saatavilla vain Japanissa. Kaikki varastetut tunnukset on tallennettu %TEMP%31558.txt ja koska MirrorStealer ei pysty suodattamaan varastettuja tietoja, sen tekeminen riippuu muista haittaohjelmista.

Kompromissin jälkeiset toimet

Tutkimuksemme aikana pystyimme havaitsemaan joitain komentoja, jotka annettiin vaarantuneille tietokoneille.

Alkuympäristön havainnointi

Kun LODEINFO käynnistettiin vaarantuneissa koneissa ja ne olivat onnistuneesti muodostaneet yhteyden C&C-palvelimeen, käyttäjä alkoi antaa komentoja (katso kuva 7).

Kuva 7. MirrorFace-operaattorin alustava ympäristöhavainto LODEINFO:n kautta

Ensin käyttäjä antoi yhden LODEINFO-komennoista, painaa, tallentaaksesi vaarantuneen koneen näytön. Tätä seurasi toinen käsky, ls, nähdäksesi nykyisen kansion sisällön, jossa LODEINFO sijaitsi (eli % TEMP%). Heti sen jälkeen operaattori käytti LODEINFOa verkkotietojen hankkimiseen ajamalla net view ja verkkonäkymä / verkkotunnus. Ensimmäinen komento palauttaa luettelon verkkoon kytketyistä tietokoneista, kun taas toinen palauttaa luettelon käytettävissä olevista toimialueista.

Tunnistetietojen ja selaimen evästeiden varastaminen

Kerättyään nämä perustiedot operaattori siirtyi seuraavaan vaiheeseen (katso kuva 8).

Kuva 8. LODEINFO:lle lähetettyjen ohjeiden kulku valtuustietovarastajan käyttöönottamiseksi, tunnistetietojen ja selaimen evästeiden keräämiseksi ja niiden suodattamiseksi C&C-palvelimelle

Operaattori antoi LODEINFO-komennon lähetä alikomennon kanssa -muisti toimittaa MirrorStealer haittaohjelmat vaarantuneelle koneelle. Alikomento -muisti käytettiin osoittamaan LODEINFOlle, että MirrorStealer pysyy muistissaan, mikä tarkoittaa, että MirrorStealer-binaaria ei koskaan pudotettu levylle. Tämän jälkeen komento muisti myönnettiin. Tämä komento käski LODEINFO:ta ottamaan MirrorStealerin ja pistämään sen syntyneeseen cmd.exe prosessi ja suorita se.

Kun MirrorStealer oli kerännyt valtuustiedot ja tallentanut ne %temp%31558.txt, operaattori käytti LODEINFO-ohjelmaa valtuustietojen suodattamiseen.

Operaattori oli kiinnostunut myös uhrin selaimen evästeistä. MirrorStealerilla ei kuitenkaan ole kykyä kerätä niitä. Siksi operaattori suodatti evästeet manuaalisesti LODEINFO:n kautta. Ensin operaattori käytti LODEINFO-komentoa dir luetteloidaksesi kansioiden sisällön % LocalAppData% GoogleChrome-käyttäjätiedot ja %LocalAppData%MicrosoftEdgeUser Data. Tämän jälkeen operaattori kopioi kaikki tunnistetut evästetiedostot tiedostoon % TEMP% kansio. Seuraavaksi operaattori suodatti kaikki kerätyt evästetiedostot LODEINFO-komennolla rekv. Lopuksi operaattori poisti kopioidut evästetiedostot % TEMP% kansio yrittää poistaa jäljet.

Asiakirjojen ja sähköpostien varastaminen

Seuraavassa vaiheessa käyttäjä suodatti erilaisia ​​asiakirjoja sekä tallennettuja sähköposteja (katso kuva 9).

Kuva 9. LODEINFO:lle lähetettyjen ohjeiden kulku kiinnostavien tiedostojen tutkimiseksi

Tätä varten operaattori käytti ensin LODEINFO:a toimittaakseen WinRAR-arkiston (rar.exe). käyttämällä rar.exe, operaattori keräsi ja arkistoi kansioista kiinnostavat tiedostot, joita on muokattu 2022-01-01 jälkeen %USERPROFILE% ja C:$Recycle.Bin. Operaattori oli kiinnostunut kaikista sellaisista tiedostoista, joiden pääte oli .doc*, .ppt*, .xls*, .jtd, .eml, .*xpsja . Pdf.

Huomaa, että yleisten asiakirjatyyppien lisäksi MirrorFace oli kiinnostunut myös tiedostoista, joissa on .jtd laajennus. Tämä edustaa japanilaisen tekstinkäsittelyohjelman asiakirjoja Ichitaro kehittämä JustSystems.

Kun arkisto oli luotu, operaattori toimitti Secure Copy Protocol (SCP) -asiakkaan PuTTY jatkui (pscp.exe) ja suodatti sen sitten juuri luodun RAR-arkiston palvelimelle osoitteessa 45.32.13[.]180. Tätä IP-osoitetta ei ollut havaittu aiemmassa MirrorFace-toiminnassa, eikä sitä ole käytetty C&C-palvelimena missään havaitsemissamme LODEINFO-haittaohjelmissa. Heti sen jälkeen, kun arkisto oli suodatettu, operaattori poistettiin rar.exe, pscp.exe, ja RAR-arkisto siivoamaan toiminnan jäljet.

Toisen vaiheen LODEINFO:n käyttöönotto

Viimeinen havaitsemamme vaihe oli toisen vaiheen LODEINFO:n toimittaminen (katso kuva 10).

Kuva 10. LODEINFO:lle lähetettyjen ohjeiden kulku toisen vaiheen LODEINFO:n käyttöönottamiseksi

Operaattori toimitti seuraavat binaarit: JSESPR.dll, JsSchHlp.exeja vcruntime140. dll vaarantuneelle koneelle. Alkuperäinen JsSchHlp.exe on hyvänlaatuinen sovellus, jonka on allekirjoittanut JUSTSYSTEMS CORPORATION (aiemmin mainitun japanilaisen tekstinkäsittelyohjelman Ichitaro valmistaja). Tässä tapauksessa MirrorFace-operaattori kuitenkin käytti väärin tunnettua Microsoftin digitaalisen allekirjoituksen vahvistusta kysymys ja lisäsi RC4-salattua dataa JsSchHlp.exe digitaalinen allekirjoitus. Mainitun ongelman vuoksi Windows pitää edelleen muokattua JsSchHlp.exe olla pätevästi allekirjoitettu.

JsSchHlp.exe on myös herkkä DLL-sivulataukselle. Siksi suorituksen yhteydessä istutettu JSESPR.dll on ladattu (katso kuva 11).

Kuva 11. Toisen vaiheen LODEINFO:n suoritusvirta

JSESPR.dll on haitallinen latausohjelma, joka lukee liitetyn hyötykuorman JsSchHlp.exe, purkaa sen ja suorittaa sen. Hyötykuorma on toisen vaiheen LODEINFO, ja kun se oli suoritettu, käyttäjä käytti tavallista LODEINFOa asettaakseen toisen vaiheen pysyvyyden. Erityisesti operaattori juoksi reg.exe apuohjelma arvon lisäämiseen nimeltä JsSchHlp että ajaa rekisteriavain, jolla on polku kohteeseen JsSchHlp.exe.

Meistä kuitenkin näyttää siltä, ​​että operaattori ei onnistunut saamaan toisen vaiheen LODEINFOa kommunikoimaan kunnolla C&C-palvelimen kanssa. Tästä syystä toisen vaiheen LODEINFOa hyödyntävän operaattorin muut vaiheet jäävät meille tuntemattomiksi.

Mielenkiintoisia havaintoja

Tutkimuksen aikana teimme muutamia mielenkiintoisia havaintoja. Yksi niistä on se, että operaattori teki muutamia virheitä ja kirjoitusvirheitä antaessaan komentoja LODEINFO:lle. Esimerkiksi operaattori lähetti merkkijonon cmd /c hakemisto "c:use" LODEINFOlle, jonka luultavasti pitikin olla cmd /c hakemisto "c:users".

Tämä viittaa siihen, että käyttäjä antaa komentoja LODEINFO:lle manuaalisesti tai puolimanuaalisesti.

Seuraava havaintomme on, että vaikka operaattori teki muutaman siivouksen poistaakseen jäljet ​​kompromissista, operaattori unohti poistaa %temp%31558.txt – loki, joka sisältää varastetut käyttäjätiedot. Näin ollen ainakin tämä jälki jäi vaarantuneeseen koneeseen ja se osoittaa meille, että kuljettaja ei ollut perusteellinen puhdistusprosessissa.

Yhteenveto

MirrorFace pyrkii edelleen arvokkaisiin kohteisiin Japanissa. Operaatio LiberalFacessa se kohdistui erityisesti poliittisiin yksiköihin käyttämällä edukseen tulevia House of Councilors -vaaleja. Mielenkiintoisempaa on, että löydöksemme osoittavat, että MirrorFace keskittyi erityisesti tietyn poliittisen puolueen jäseniin.

Operation LiberalFace -tutkimuksen aikana onnistuimme paljastamaan lisää MirrorFacen TTP:itä, kuten lisähaittaohjelmien ja työkalujen käyttöönottoa ja käyttöä arvokkaiden tietojen keräämiseen ja suodattamiseen uhreilta. Lisäksi tutkimuksemme paljasti, että MirrorFace-operaattorit ovat hieman huolimattomia, jättäen jälkiä ja tekevät erilaisia ​​virheitä.

IoC: t

Asiakirjat

verkko

MITER ATT & CK -tekniikat

Tämä pöytä on rakennettu käyttämällä version 12 MITRE ATT&CK -kehyksestä.

Huomaa, että vaikka tämä blogiviesti ei tarjoa täydellistä yleiskuvaa LODEINFO-ominaisuuksista, koska nämä tiedot ovat jo saatavilla muissa julkaisuissa, alla oleva MITER ATT&CK -taulukko sisältää kaikki siihen liittyvät tekniikat.