ईएसईटी के शोधकर्ताओं ने हाउस ऑफ काउंसिलर्स के चुनाव से कुछ हफ्ते पहले जापानी राजनीतिक संस्थाओं को लक्षित करने वाले एक तेजतर्रार अभियान की खोज की, और इस प्रक्रिया में पहले से अनिर्दिष्ट मिररफेस क्रेडेंशियल चोरी करने वाले का पर्दाफाश किया।
ईएसईटी के शोधकर्ताओं ने एक स्पीफिशिंग अभियान की खोज की, जो कि आने वाले हफ्तों में शुरू किया गया था जापानी हाउस ऑफ काउंसलर चुनाव जुलाई 2022 में, एपीटी समूह द्वारा जिसे ईएसईटी रिसर्च मिररफेस के रूप में ट्रैक करता है। अभियान, जिसे हमने ऑपरेशन लिबरलफेस नाम दिया है, ने जापानी राजनीतिक संस्थाओं को लक्षित किया; हमारी जांच से पता चला कि इस अभियान में एक विशिष्ट राजनीतिक दल के सदस्यों का विशेष ध्यान था। ईएसईटी रिसर्च ने इस अभियान और इसके पीछे एपीटी समूह के बारे में खुलासा किया अवार 2022 सम्मेलन इस महीने की शुरुआत में।
- जून 2022 के अंत में, मिररफेस ने एक अभियान शुरू किया, जिसे हमने ऑपरेशन लिबरलफेस नाम दिया है, जिसने जापानी राजनीतिक संस्थाओं को लक्षित किया।
- समूह के प्रमुख बैकडोर LODEINFO वाले स्पीयरफ़िशिंग ईमेल संदेशों को लक्ष्यों पर भेजा गया था।
- LODEINFO का उपयोग अतिरिक्त मैलवेयर डिलीवर करने, पीड़ित की साख को बाहर निकालने और पीड़ित के दस्तावेज़ और ईमेल चुराने के लिए किया गया था।
- ऑपरेशन लिबरलफेस में एक पूर्व अवर्णित क्रेडेंशियल चोरी करने वाले का उपयोग किया गया था जिसे हमने मिररस्टीलर नाम दिया है।
- ईएसईटी रिसर्च ने समझौता के बाद की गतिविधियों का विश्लेषण किया, जो बताता है कि देखे गए कार्यों को मैन्युअल या अर्ध-मैन्युअल तरीके से किया गया था।
- इस अभियान के बारे में विवरण पर साझा किया गया अवार 2022 सम्मेलन.
मिररफेस एक चीनी भाषी खतरा अभिनेता है जो जापान में स्थित कंपनियों और संगठनों को लक्षित करता है। जबकि कुछ अटकलें हैं कि यह धमकी देने वाला अभिनेता APT10 से संबंधित हो सकता है (Macnica, Kaspersky), ईएसईटी इसे किसी भी ज्ञात एपीटी समूह को श्रेय देने में असमर्थ है। इसलिए, हम इसे एक अलग इकाई के रूप में ट्रैक कर रहे हैं जिसे हमने मिररफेस नाम दिया है। विशेष रूप से, MirrorFace और LODEINFO, इसके स्वामित्व वाले मैलवेयर को विशेष रूप से जापान में लक्ष्य के विरुद्ध उपयोग किया गया है की रिपोर्ट मीडिया, रक्षा से संबंधित कंपनियों, थिंक टैंक, राजनयिक संगठनों और शैक्षणिक संस्थानों को निशाना बनाने के रूप में। मिररफेस का लक्ष्य जासूसी और रुचि की फाइलों की चोरी है।
हम ऑपरेशन लिबरलफेस को इन संकेतकों के आधार पर मिररफेस को श्रेय देते हैं:
- हमारे सर्वोत्तम ज्ञान के लिए, LODEINFO मैलवेयर विशेष रूप से MirrorFace द्वारा उपयोग किया जाता है।
- ऑपरेशन लिबरलफेस के लक्ष्य पारंपरिक मिररफेस लक्ष्यीकरण के साथ संरेखित होते हैं।
- एक दूसरे चरण के LODEINFO मैलवेयर नमूने ने एक C&C सर्वर से संपर्क किया जिसे हम मिररफेस इंफ्रास्ट्रक्चर के हिस्से के रूप में आंतरिक रूप से ट्रैक करते हैं।
ऑपरेशन लिबरलफेस में भेजे गए भाषण ईमेलों में से एक विशिष्ट जापानी राजनीतिक दल के पीआर विभाग से एक आधिकारिक संचार के रूप में सामने आया, जिसमें हाउस ऑफ काउंसिलर्स चुनावों से संबंधित अनुरोध शामिल था, और कथित रूप से एक प्रमुख राजनेता की ओर से भेजा गया था। सभी स्पीयरफ़िशिंग ईमेलों में एक दुर्भावनापूर्ण अटैचमेंट होता है जो निष्पादन पर समझौता किए गए मशीन पर LODEINFO को तैनात करता है।
इसके अतिरिक्त, हमने पाया कि मिररफेस ने अपने लक्ष्य की साख को चुराने के लिए पूर्व में बिना दस्तावेज वाले मैलवेयर का उपयोग किया है, जिसे हमने मिररस्टीलर नाम दिया है। हमारा मानना है कि यह पहली बार है जब इस मैलवेयर का सार्वजनिक रूप से वर्णन किया गया है।
इस ब्लॉगपोस्ट में, हम समझौते के बाद देखी गई गतिविधियों को कवर करते हैं, जिसमें कार्रवाई करने के लिए LODEINFO को भेजे गए C&C कमांड शामिल हैं। प्रभावित मशीन पर की गई कुछ गतिविधियों के आधार पर, हमें लगता है कि मिररफेस ऑपरेटर ने मैन्युअल या सेमी-मैन्युअल तरीके से LODEINFO को आदेश जारी किए।
प्रारंभिक पहुंच
मिररफेस ने 29 जून को हमला शुरू कियाth, 2022, लक्ष्यों के प्रति दुर्भावनापूर्ण अनुलग्नक के साथ स्पीयरफ़िशिंग ईमेल वितरित करना। ईमेल का विषय था एसएनएस用動画 拡散のお願い (Google अनुवाद से अनुवाद: [महत्वपूर्ण] एसएनएस के लिए वीडियो फैलाने का अनुरोध). चित्र 1 और चित्र 2 इसकी सामग्री दिखाते हैं।
एक जापानी राजनीतिक दल के पीआर विभाग होने का दावा करते हुए, मिररफेस ने प्राप्तकर्ताओं से पार्टी के पीआर को और मजबूत करने और पार्षदों की सभा में जीत हासिल करने के लिए संलग्न वीडियो को अपने स्वयं के सोशल मीडिया प्रोफाइल (एसएनएस - सोशल नेटवर्क सर्विस) पर वितरित करने के लिए कहा। इसके अलावा, ईमेल वीडियो की प्रकाशन रणनीति पर स्पष्ट निर्देश प्रदान करता है।
चूंकि हाउस ऑफ काउंसिलर्स का चुनाव 10 जुलाई को हुआ थाth, 2022, यह ईमेल स्पष्ट रूप से इंगित करता है कि मिररफेस ने राजनीतिक संस्थाओं पर हमला करने का अवसर मांगा था। साथ ही, ईमेल में विशिष्ट सामग्री इंगित करती है कि किसी विशेष राजनीतिक दल के सदस्यों को लक्षित किया गया था।
मिररफेस ने अभियान में एक और स्पीयरफिशिंग ईमेल का भी इस्तेमाल किया, जहां अटैचमेंट का शीर्षक था 【参考】220628発・選挙管理委員会宛文書(添書分)।प्रोग्राम फ़ाइल (गूगल अनुवाद से अनुवाद: [संदर्भ] 220628 चुनाव प्रशासन समिति के मंत्रालय से दस्तावेज़ (परिशिष्ट).exe). संलग्न डिकॉय दस्तावेज़ (चित्र 3 में दिखाया गया है) पार्षदों के चुनाव की सभा को भी संदर्भित करता है।
दोनों ही मामलों में, ईमेल में भ्रामक नाम SNS के साथ स्व-निकालने वाले WinRAR अभिलेखागार के रूप में दुर्भावनापूर्ण अनुलग्नक शामिल थे।।प्रोग्राम फ़ाइल (गूगल अनुवाद से अनुवाद: SNS.exe के लिए वीडियो फैलाने का अनुरोध) और 【参考】220628発・選挙管理委員会宛文書(添書分)।प्रोग्राम फ़ाइल (गूगल अनुवाद से अनुवाद: [संदर्भ] 220628 चुनाव प्रशासन समिति के मंत्रालय से दस्तावेज़ (परिशिष्ट).exe) क्रमशः.
ये EXE अपनी संग्रहीत सामग्री को % TEMP% फ़ोल्डर। विशेष रूप से, चार फाइलें निकाली जाती हैं:
- K7SysMon.exe, K7 कंप्यूटिंग प्राइवेट लिमिटेड द्वारा विकसित एक सौम्य एप्लिकेशन DLL सर्च ऑर्डर हाइजैकिंग के लिए असुरक्षित है
- K7SysMn1.dll, एक दुर्भावनापूर्ण लोडर
- K7SysMon.Exe.db, एन्क्रिप्टेड LODEINFO मैलवेयर
- एक फंदा दस्तावेज
फिर, लक्ष्य को धोखा देने और सौम्य दिखने के लिए डिकॉय दस्तावेज़ खोला जाता है। अंतिम चरण के रूप में, K7SysMon.exe निष्पादित किया जाता है जो दुर्भावनापूर्ण लोडर को लोड करता है K7SysMn1.dll इसके साथ गिरा दिया। अंत में, लोडर की सामग्री को पढ़ता है K7SysMon.Exe.db, इसे डिक्रिप्ट करता है, और फिर इसे निष्पादित करता है। ध्यान दें कि यह दृष्टिकोण कास्परस्की द्वारा भी देखा गया था और उनके द्वारा वर्णित किया गया था रिपोर्ट.
टूलसेट
इस खंड में, हम ऑपरेशन लिबरलफेस में उपयोग किए गए मैलवेयर मिररफेस का वर्णन करते हैं।
लोडइन्फो
LODEINFO एक मिररफेस बैकडोर है जो निरंतर विकास के अधीन है। जेपीसीईआरटी पहले संस्करण के बारे में बताया LODEINFO (v0.1.2) का, जो दिसंबर 2019 के आसपास सामने आया; इसकी कार्यक्षमता स्क्रीनशॉट, कीलॉगिंग, हत्या प्रक्रियाओं को कैप्चर करने, फ़ाइलों को एक्सफ़िल्ट्रेट करने और अतिरिक्त फ़ाइलों और आदेशों को निष्पादित करने की अनुमति देती है। तब से, हमने इसके प्रत्येक संस्करण में कई बदलाव देखे हैं। उदाहरण के लिए, संस्करण 0.3.8 (जिसे हमने पहली बार जून 2020 में खोजा था) में फिरौती कमांड जोड़ा (जो परिभाषित फाइलों और फ़ोल्डरों को एन्क्रिप्ट करता है), और संस्करण 0.5.6 (जिसे हमने जुलाई 2021 में पाया) ने कमांड जोड़ा विन्यास, जो ऑपरेटरों को रजिस्ट्री में संग्रहीत इसके कॉन्फ़िगरेशन को संशोधित करने की अनुमति देता है। ऊपर उल्लिखित जेपीसीईआरटी रिपोर्टिंग के अलावा, इस साल के शुरू में LODEINFO पिछले दरवाजे का एक विस्तृत विश्लेषण भी प्रकाशित किया गया था। Kaspersky.
ऑपरेशन लिबरलफेस में, हमने देखा कि मिररफेस ऑपरेटर नियमित LODEINFO और जिसे हम दूसरे चरण LODEINFO मैलवेयर कहते हैं, दोनों का उपयोग करते हैं। समग्र कार्यक्षमता को देखते हुए दूसरे चरण के LODEINFO को नियमित LODEINFO से अलग किया जा सकता है। विशेष रूप से, दूसरे चरण का LODEINFO पीई बायनेरिज़ को स्वीकार करता है और क्रियान्वित आदेशों के बाहर शेलकोड चलाता है। इसके अलावा, दूसरे चरण का LODEINFO C&C कमांड को प्रोसेस कर सकता है विन्यास, लेकिन कमांड के लिए कार्यक्षमता फिरौती लापता है।
अंत में, C&C सर्वर से प्राप्त डेटा नियमित LODEINFO और दूसरे चरण के बीच भिन्न होता है। दूसरे चरण के LODEINFO के लिए, C&C सर्वर यादृच्छिक वेब पेज सामग्री को वास्तविक डेटा से जोड़ता है। प्राप्त डेटा अंतर को दर्शाते हुए चित्र 4, चित्र 5 और चित्र 6 देखें। ध्यान दें कि प्रीपेंडेड कोड स्निपेट दूसरे चरण के C&C से प्रत्येक प्राप्त डेटा स्ट्रीम के लिए भिन्न होता है।
मिररस्टीलर
मिररस्टीलर, आंतरिक रूप से नामित 31558_एन.डीएल मिररफेस द्वारा, एक क्रेडेंशियल चुराने वाला है। हमारी सर्वोत्तम जानकारी के अनुसार, इस मैलवेयर का सार्वजनिक रूप से वर्णन नहीं किया गया है। सामान्य तौर पर, मिररस्टीलर ब्राउज़र और ईमेल क्लाइंट जैसे विभिन्न अनुप्रयोगों से क्रेडेंशियल्स चुराता है। दिलचस्प बात यह है कि लक्षित अनुप्रयोगों में से एक है बेकी!, एक ईमेल क्लाइंट जो वर्तमान में केवल जापान में उपलब्ध है। चोरी किए गए सभी क्रेडेंशियल्स में संग्रहीत हैं %TEMP%31558.txt और चूंकि मिररस्टीलर में चुराए गए डेटा को एक्सफ़िलिएट करने की क्षमता नहीं है, यह ऐसा करने के लिए अन्य मैलवेयर पर निर्भर करता है।
समझौता के बाद की गतिविधियाँ
अपने शोध के दौरान, हम कुछ ऐसे आदेशों का पालन करने में सक्षम थे जो हैक किए गए कंप्यूटरों को जारी किए गए थे।
प्रारंभिक पर्यावरण अवलोकन
एक बार LODEINFO को छेड़छाड़ की गई मशीनों पर लॉन्च किया गया था और वे C&C सर्वर से सफलतापूर्वक जुड़ गए थे, एक ऑपरेटर ने कमांड जारी करना शुरू कर दिया था (चित्र 7 देखें)।
सबसे पहले, ऑपरेटर ने LODEINFO कमांड में से एक जारी किया, छाप, हैक की गई मशीन की स्क्रीन कैप्चर करने के लिए। इसके बाद एक और आदेश आया, ls, उस वर्तमान फ़ोल्डर की सामग्री देखने के लिए जिसमें LODEINFO स्थित है (अर्थात, % TEMP%). उसके ठीक बाद, ऑपरेटर ने चलकर नेटवर्क जानकारी प्राप्त करने के लिए LODEINFO का उपयोग किया वास्तविक नज़र और शुद्ध दृश्य /डोमेन. पहला आदेश नेटवर्क से जुड़े कंप्यूटरों की सूची लौटाता है, जबकि दूसरा उपलब्ध डोमेन की सूची देता है।
क्रेडेंशियल और ब्राउज़र कुकी चोरी
इस बुनियादी जानकारी को एकत्र करने के बाद, ऑपरेटर अगले चरण में चला गया (चित्र 8 देखें)।
ऑपरेटर ने उप कमांड के साथ LODEINFO कमांड सेंड जारी किया -स्मृति पहुँचाना मिररस्टीलर समझौता मशीन के लिए मैलवेयर। उपकमांड -स्मृति इसका उपयोग LODEINFO को मिररस्टीलर को उसकी मेमोरी में रखने के लिए इंगित करने के लिए किया गया था, जिसका अर्थ है कि मिररस्टीलर बाइनरी को डिस्क पर कभी नहीं गिराया गया था। इसके बाद कमान स्मृति जारी किया गया था। इस कमांड ने LODEINFO को मिररस्टीलर लेने का निर्देश दिया, इसे स्पॉन में इंजेक्ट किया cmd.exe प्रक्रिया करें, और इसे चलाएं।
एक बार मिररस्टीलर ने क्रेडेंशियल्स एकत्र कर लिए और उन्हें स्टोर कर लिया % अस्थायी% 31558.txt, ऑपरेटर ने क्रेडेंशियल्स को छानने के लिए LODEINFO का उपयोग किया।
ऑपरेटर की रुचि पीड़ित के ब्राउज़र कुकीज़ में भी थी। हालाँकि, MirrorStealer के पास उन्हें एकत्र करने की क्षमता नहीं है। इसलिए, ऑपरेटर ने कुकीज़ को LODEINFO के माध्यम से मैन्युअल रूप से एक्सफिल्टर किया। सबसे पहले, ऑपरेटर ने LODEINFO कमांड का इस्तेमाल किया दीर फ़ोल्डरों की सामग्री को सूचीबद्ध करने के लिए %LocalAppData%GoogleChromeउपयोगकर्ता डेटा और %LocalAppData%MicrosoftEdgeउपयोगकर्ता डेटा. फिर, ऑपरेटर ने सभी पहचानी गई कुकी फ़ाइलों को % TEMP% फ़ोल्डर। इसके बाद, ऑपरेटर ने LODEINFO कमांड का उपयोग करके सभी एकत्र की गई कुकी फ़ाइलों को एक्सफिल्टर किया recv. अंत में, ऑपरेटर ने कॉपी की गई कुकी फ़ाइलों को % TEMP% निशान हटाने के प्रयास में फ़ोल्डर।
दस्तावेज़ और ईमेल चोरी
अगले चरण में, ऑपरेटर ने विभिन्न प्रकार के दस्तावेज़ों के साथ-साथ संग्रहीत ईमेल को भी एक्सफिल्टर किया (चित्र 9 देखें)।
उसके लिए, ऑपरेटर ने सबसे पहले LODEINFO का उपयोग WinRAR संग्रहकर्ता (rar.exe)। का उपयोग करते हुए rar.exe, ऑपरेटर ने फ़ोल्डर्स से 2022-01-01 के बाद संशोधित की गई रुचि की फ़ाइलों को एकत्र और संग्रहित किया %USERPROFILE% और C:$Recycle.Bin. ऑपरेटर को ऐसी सभी फाइलों में दिलचस्पी थी, जिनमें एक्सटेंशन .डॉक्टर*, .पीपीटी*, .xls*, .jtd, .eml, * एक्सपीएस, तथा . पीडीएफ.
ध्यान दें कि सामान्य दस्तावेज़ प्रकारों के अलावा, MirrorFace की रुचि उन फ़ाइलों में भी थी जिनके पास .jtd विस्तार। यह जापानी वर्ड प्रोसेसर के दस्तावेजों का प्रतिनिधित्व करता है इचितारो JustSystems द्वारा विकसित।
एक बार आर्काइव बन जाने के बाद, ऑपरेटर ने सिक्योर कॉपी प्रोटोकॉल (SCP) क्लाइंट को पुट्टी जारी रखा (pscp.exe) और उसके बाद सर्वर पर अभी-अभी बनाए गए RAR आर्काइव को एक्सफ़िल्ट्रेट करने के लिए इसका इस्तेमाल किया 45.32.13 [।] 180. यह आईपी पता पिछले मिररफेस गतिविधि में नहीं देखा गया था और किसी भी LODEINFO मैलवेयर में सी एंड सी सर्वर के रूप में इस्तेमाल नहीं किया गया था जिसे हमने देखा है। आर्काइव के एक्सफिल्ट होने के ठीक बाद, ऑपरेटर ने डिलीट कर दिया rar.exe, pscp.exe, और गतिविधि के अंशों को साफ करने के लिए RAR संग्रह।
दूसरे चरण के LODEINFO की तैनाती
हमने जो अंतिम चरण देखा, वह दूसरे चरण के LODEINFO को वितरित कर रहा था (चित्र 10 देखें)।
ऑपरेटर ने निम्नलिखित बायनेरिज़ वितरित किए: जेएसईएसपीआर.डीएल, जेएसएसएचएलपी.exe, तथा वीक्रंटाइम140. डीएलएल समझौता मशीन के लिए। मूल जेएसएसएचएलपी.exe JUSTSYSTEMS CORPORATION (पहले उल्लिखित जापानी वर्ड प्रोसेसर, Ichitaro के निर्माता) द्वारा हस्ताक्षरित एक सौम्य एप्लिकेशन है। हालाँकि, इस मामले में मिररफेस ऑपरेटर ने एक ज्ञात Microsoft डिजिटल हस्ताक्षर सत्यापन का दुरुपयोग किया मुद्दा और RC4 एन्क्रिप्टेड डेटा को जेएसएसएचएलपी.exe अंगुली का हस्ताक्षर। उल्लेखित समस्या के कारण, Windows अभी भी संशोधित मानता है जेएसएसएचएलपी.exe वैध रूप से हस्ताक्षरित होना।
जेएसएसएचएलपी.exe डीएलएल साइड-लोडिंग के लिए भी अतिसंवेदनशील है। इसलिए, निष्पादन पर, लगाया जेएसईएसपीआर.डीएल लोड किया गया है (चित्र 11 देखें)।
जेएसईएसपीआर.डीएल एक दुर्भावनापूर्ण लोडर है जो संलग्न पेलोड को पढ़ता है जेएसएसएचएलपी.exe, इसे डिक्रिप्ट करता है, और इसे चलाता है। पेलोड दूसरे चरण का LODEINFO है, और एक बार चलने के बाद, ऑपरेटर दूसरे चरण के लिए दृढ़ता सेट करने के लिए नियमित LODEINFO का उपयोग करता है। विशेष रूप से, ऑपरेटर चलाया reg.exe नाम का मान जोड़ने के लिए उपयोगिता जेएसएसएचएलपी को रन पथ को पकड़े हुए रजिस्ट्री कुंजी जेएसएसएचएलपी.exe.
हालांकि, ऐसा प्रतीत होता है कि ऑपरेटर दूसरे चरण के LODEINFO को C&C सर्वर के साथ ठीक से संचार करने में सक्षम नहीं बना पाया। इसलिए, दूसरे चरण के LODEINFO का उपयोग करने वाले ऑपरेटर के आगे के कदम हमारे लिए अज्ञात रहते हैं।
दिलचस्प अवलोकन
पड़ताल के दौरान हमने कुछ दिलचस्प बातें भी कीं। उनमें से एक यह है कि LODEINFO को कमांड जारी करते समय ऑपरेटर ने कुछ त्रुटियां और टाइपिंग की त्रुटियां कीं। उदाहरण के लिए, ऑपरेटर ने स्ट्रिंग भेजी सीएमडी / सी डीआईआर "सी: उपयोग" LODEINFO के लिए, जिसकी सबसे अधिक संभावना थी सीएमडी / सी डीआईआर "सी: उपयोगकर्ता".
इससे पता चलता है कि ऑपरेटर LODEINFO को मैन्युअल या अर्ध-मैन्युअल तरीके से आदेश जारी कर रहा है।
हमारा अगला अवलोकन यह है कि भले ही ऑपरेटर ने समझौते के निशान को हटाने के लिए कुछ क्लीनअप किए, ऑपरेटर हटाना भूल गया % अस्थायी% 31558.txt - चोरी की साख वाला लॉग। इस प्रकार, कम से कम यह निशान समझौता की गई मशीन पर बना रहा और यह हमें दिखाता है कि सफाई प्रक्रिया में ऑपरेटर पूरी तरह से नहीं था।
निष्कर्ष
मिररफेस जापान में उच्च मूल्य वाले लक्ष्यों को लक्षित करना जारी रखता है। ऑपरेशन लिबरलफेस में, इसने विशेष रूप से अपने लाभ के लिए तत्कालीन आगामी हाउस ऑफ काउंसिलर्स चुनाव का उपयोग करके राजनीतिक संस्थाओं को लक्षित किया। अधिक दिलचस्प बात यह है कि हमारे निष्कर्ष बताते हैं कि मिररफेस विशेष रूप से एक विशिष्ट राजनीतिक दल के सदस्यों पर केंद्रित है।
ऑपरेशन लिबरलफेस जांच के दौरान, हम आगे मिररफेस टीटीपी को उजागर करने में कामयाब रहे, जैसे पीड़ितों से मूल्यवान डेटा एकत्र करने और निकालने के लिए अतिरिक्त मैलवेयर और उपकरणों की तैनाती और उपयोग। इसके अलावा, हमारी जांच से पता चला है कि मिररफेस ऑपरेटर कुछ हद तक लापरवाह हैं, निशान छोड़ रहे हैं और विभिन्न गलतियां कर रहे हैं।
ईएसईटी रिसर्च निजी एपीटी खुफिया रिपोर्ट और डेटा फीड भी प्रदान करता है। इस सेवा के बारे में किसी भी पूछताछ के लिए, देखें ईएसईटी थ्रेट इंटेलिजेंस इस पृष्ठ पर ज़ूम कई वीडियो ट्यूटोरियल और अन्य साहायक साधन प्रदान करता है।
आईओसी
फ़ाइलें
शा 1 | फ़ाइल का नाम | ईएसईटी पहचान नाम | Description |
---|---|---|---|
F4691FF3B3ACD15653684F372285CAC36C8D0AEF | K7SysMn1.dll | Win32/एजेंट.ACLP | लोडइन्फो लोडर। |
DB81C8719DDAAE40C8D9B9CA103BBE77BE4FCE6C | K7SysMon.Exe.db | एन / ए | एन्क्रिप्टेड लोडइन्फो। |
A8D2BE15085061B753FDEBBDB08D301A034CE1D5 | जेएसएसएचएलपी.exe | Win32/एजेंट.ACLP | जेएसएसएचएलपी.exe में संलग्न एन्क्रिप्टेड द्वितीय चरण LODEINFO के साथ सुरक्षा निर्देशिका. |
0AB7BB3FF583E50FBF28B288E71D3BB57F9D1395 | जेएसईएसपीआर.डीएल | Win32/एजेंट.ACLP | द्वितीय चरण LODEINFO लोडर। |
E888A552B00D810B5521002304D4F11BC249D8ED | 31558_एन.डीएल | Win32/एजेंट.ACLP | मिररस्टीलर क्रेडेंशियल चोरी करने वाला। |
नेटवर्क
IP | Provider | पहले देखा | विवरण |
---|---|---|---|
5.8.95 [।] 174 | जी-कोर लैब्स एसए | 2022-06-13 | लोडइन्फो सी एंड सी सर्वर। |
45.32.13 [।] 180 | एएस-चौपा | 2022-06-29 | डेटा एक्सफिल्ट्रेशन के लिए सर्वर। |
103.175.16 [।] 39 | Gigabit होस्टिंग Sdn Bhd | 2022-06-13 | लोडइन्फो सी एंड सी सर्वर। |
167.179.116 [।] 56 | एएस-चौपा | 2021-10-20 | www.ninesmn[.]com, दूसरे चरण का LODEINFO C&C सर्वर। |
172.105.217 [।] 233 | लिनोड, एलएलसी | 2021-11-14 | www.aesorunwe [।] कॉम, दूसरे चरण का LODEINFO C&C सर्वर। |
MITER ATT&CK तकनीक
यह तालिका का उपयोग करके बनाई गई थी 12 संस्करण एमआईटीईआर एटीटी एंड सीके ढांचे के.
ध्यान दें कि हालांकि यह ब्लॉगपोस्ट LODEINFO क्षमताओं का संपूर्ण अवलोकन प्रदान नहीं करता है क्योंकि यह जानकारी पहले से ही अन्य प्रकाशनों में उपलब्ध है, नीचे दी गई MITER ATT&CK तालिका में इससे जुड़ी सभी तकनीकें शामिल हैं।
युक्ति | ID | नाम | Description |
---|---|---|---|
प्रारंभिक पहुंच | T1566.001 | फ़िशिंग: स्पीयरफ़िशिंग अटैचमेंट | एक दुर्भावनापूर्ण WinRAR SFX संग्रह एक स्पीयरफ़िशिंग ईमेल से जुड़ा हुआ है। |
निष्पादन | T1106 | मूल निवासी एपीआई | LODEINFO फाइलों का निष्पादन कर सकता है क्रिएट प्रोसेस ए एपीआई। |
T1204.002 | उपयोगकर्ता निष्पादन: दुर्भावनापूर्ण फ़ाइल | मिररफेस ऑपरेटर ईमेल के जरिए भेजे गए दुर्भावनापूर्ण अटैचमेंट को खोलने वाले पीड़ित पर भरोसा करते हैं। | |
T1559.001 | इंटर-प्रोसेस कम्युनिकेशन: कंपोनेंट ऑब्जेक्ट मॉडल | LODEINFO कंपोनेंट ऑब्जेक्ट मॉडल के माध्यम से कमांड निष्पादित कर सकता है। | |
हठ | T1547.001 | बूट या लॉगऑन ऑटोस्टार्ट एक्ज़ीक्यूशन: रजिस्ट्री रन कीज़ / स्टार्टअप फोल्डर | LODEINFO इसमें एक प्रविष्टि जोड़ता है एचकेसीयू रन निरंतरता सुनिश्चित करने की कुंजी।
हमने मिररफेस ऑपरेटरों को मैन्युअल रूप से एक प्रविष्टि जोड़ते हुए देखा एचकेसीयू रन कुंजी दूसरे चरण के LODEINFO के लिए दृढ़ता सुनिश्चित करने के लिए। |
रक्षा चोरी | T1112 | रजिस्ट्री संशोधित करें | LODEINFO अपने कॉन्फ़िगरेशन को रजिस्ट्री में संग्रहीत कर सकता है। |
T1055 | प्रक्रिया इंजेक्शन | LODEINFO शेलकोड को इंजेक्ट कर सकता है cmd.exe. | |
T1140 | फाइलों या सूचनाओं को डिओबफसकेट/डीकोड करें | LODEINFO लोडर सिंगल-बाइट XOR या RC4 का उपयोग करके पेलोड को डिक्रिप्ट करता है। | |
T1574.002 | हाईजैक निष्पादन प्रवाह: डीएलएल साइड-लोडिंग | मिररफेस एक दुर्भावनापूर्ण लाइब्रेरी और एक वैध निष्पादन योग्य (जैसे, K7SysMon.exe). | |
खोज | T1082 | सिस्टम सूचना डिस्कवरी | LODEINFO समझौता की गई मशीन को फ़िंगरप्रिंट करता है। |
T1083 | फ़ाइल और निर्देशिका डिस्कवरी | LODEINFO फ़ाइल और निर्देशिका सूची प्राप्त कर सकता है। | |
T1057 | प्रक्रिया खोज | LODEINFO चल रही प्रक्रियाओं को सूचीबद्ध कर सकता है। | |
T1033 | सिस्टम ओनर/यूजर डिस्कवरी | LODEINFO पीड़ित का उपयोगकर्ता नाम प्राप्त कर सकता है। | |
T1614.001 | सिस्टम लोकेशन डिस्कवरी: सिस्टम लैंग्वेज डिस्कवरी | LODEINFO यह सत्यापित करने के लिए सिस्टम भाषा की जाँच करता है कि यह अंग्रेजी भाषा का उपयोग करने के लिए सेट की गई मशीन पर नहीं चल रही है। | |
पुस्तक संग्रह | T1560.001 | पुरालेख एकत्रित डेटा: उपयोगिता के माध्यम से पुरालेख | हमने मिररफेस ऑपरेटरों को आरएआर आर्काइव का उपयोग करके एकत्रित डेटा संग्रह करते हुए देखा। |
T1114.001 | ईमेल संग्रह: स्थानीय ईमेल संग्रह | हमने मिररफेस ऑपरेटरों को संग्रहीत ईमेल संदेशों को एकत्रित करते हुए देखा। | |
T1056.001 | इनपुट कैप्चर: कीलॉगिंग | LODEINFO कीलॉगिंग करता है। | |
T1113 | स्क्रीन पर कब्जा | LODEINFO एक स्क्रीनशॉट प्राप्त कर सकता है। | |
T1005 | स्थानीय सिस्टम से डेटा | हमने देखा कि मिररफेस ऑपरेटर रुचि के डेटा को एकत्रित और एक्सफिल्टर कर रहे हैं। | |
आदेश और नियंत्रण | T1071.001 | अनुप्रयोग परत प्रोटोकॉल: वेब प्रोटोकॉल | LODEINFO अपने C&C सर्वर के साथ संचार करने के लिए HTTP प्रोटोकॉल का उपयोग करता है। |
T1132.001 | डेटा एन्कोडिंग: मानक एन्कोडिंग | LODEINFO अपने C&C ट्रैफ़िक को एनकोड करने के लिए URL-सुरक्षित बेस64 का उपयोग करता है। | |
T1573.001 | एन्क्रिप्टेड चैनल: सममित क्रिप्टोग्राफी | LODEINFO C&C ट्रैफ़िक को एन्क्रिप्ट करने के लिए AES-256-CBC का उपयोग करता है। | |
T1001.001 | डेटा अस्पष्टता: जंक डेटा | द्वितीय चरण LODEINFO C&C जंक को भेजे गए डेटा में जोड़ता है। | |
exfiltration | T1041 | C2 चैनल पर एक्सफिल्ट्रेशन | LODEINFO फ़ाइलों को C&C सर्वर में एक्सफिल्टर कर सकता है। |
T1071.002 | एप्लीकेशन लेयर प्रोटोकॉल: फाइल ट्रांसफर प्रोटोकॉल | हमने एकत्रित डेटा को एक्सफिल्टर करने के लिए सिक्योर कॉपी प्रोटोकॉल (एससीपी) का उपयोग करते हुए मिररफेस का अवलोकन किया। | |
प्रभाव | T1486 | प्रभाव के लिए डेटा एन्क्रिप्ट किया गया | LODEINFO पीड़ित की मशीन पर फाइलों को एन्क्रिप्ट कर सकता है। |
- blockchain
- कॉइनजीनियस
- क्रिप्टोकुरेंसी वॉलेट्स
- क्रिप्टोकरंसीज
- साइबर सुरक्षा
- साइबर अपराधी
- साइबर सुरक्षा
- घर की भूमि सुरक्षा का विभाग
- डिजिटल पर्स
- ईएसईटी अनुसंधान
- फ़ायरवॉल
- Kaspersky
- मैलवेयर
- McAfee
- नेक्सब्लॉक
- प्लेटो
- प्लेटो एआई
- प्लेटो डेटा इंटेलिजेंस
- प्लेटो गेम
- प्लेटोडाटा
- प्लेटोगेमिंग
- वीपीएन
- हम सुरक्षा जीते हैं
- वेबसाइट सुरक्षा
- जेफिरनेट