Az ESET kutatói néhány héttel a Tanácsosok Háza választása előtt felfedeztek egy japán politikai entitásokat célzó lopáskodó kampányt, és ennek során egy korábban le nem írt MirrorFace hitelesítő adatlopót fedeztek fel.
Az ESET kutatói felfedeztek egy titkos adathalász kampányt, amelyet az azt megelőző hetekben indították el Japán tanácsosok választása 2022 júliusában az APT csoport által, amelyet az ESET Research MirrorFace néven követ. Az általunk Operation LiberalFace elnevezésű kampány a japán politikai entitásokat célozta meg; Vizsgálatunk során kiderült, hogy ebben a kampányban egy konkrét politikai párt tagjai kaptak különös figyelmet. Az ESET Research részleteket tárt fel a kampányról és a mögötte álló APT-csoportról AVAR 2022 konferencia e hónap elején.
- 2022 júniusának végén a MirrorFace elindított egy kampányt, amelyet Operation LiberalFace-nek neveztünk el, és amely japán politikai egységeket célozta meg.
- A csoport zászlóshajója, a LODEINFO-t tartalmazó e-mail üzeneteket küldtek a célpontoknak.
- A LODEINFO-t további rosszindulatú programok kézbesítésére, az áldozat hitelesítő adatainak kiszűrésére, valamint az áldozat dokumentumainak és e-mailjeinek ellopására használták.
- A LiberalFace hadműveletben egy korábban nem leírt hitelesítő adatlopót használtunk, amelyet MirrorStealer-nek neveztünk el.
- Az ESET Research elemzést végzett a kompromisszum utáni tevékenységekről, ami arra utal, hogy a megfigyelt műveleteket manuálisan vagy félmanuálisan hajtották végre.
- A kampány részleteit a következő címen osztották meg AVAR 2022 konferencia.
A MirrorFace egy kínaiul beszélő fenyegetési szereplő, amely Japánban székhellyel rendelkező vállalatokat és szervezeteket céloz meg. Bár vannak bizonyos feltételezések, hogy ez a fenyegető szereplő kapcsolatban állhat az APT10-vel (Macnica, Kaspersky), az ESET nem tudja egyetlen ismert APT-csoporthoz sem rendelni. Ezért külön entitásként követjük nyomon, amelyet MirrorFace-nek neveztünk el. Különösen a MirrorFace és a LODEINFO, a saját fejlesztésű kártevő, amelyet kizárólag a japán célpontok ellen használnak. jelentett mint a médiát, a védelemmel kapcsolatos vállalatokat, agytrösztöket, diplomáciai szervezeteket és akadémiai intézményeket célozzák meg. A MirrorFace célja a kémkedés és az érdekes fájlok kiszűrése.
A LiberalFace műveletet a MirrorFace-hez rendeljük a következő mutatók alapján:
- Legjobb tudomásunk szerint a LODEINFO malware-t kizárólag a MirrorFace használja.
- Az Operation LiberalFace céljai összhangban vannak a hagyományos MirrorFace célzással.
- A LODEINFO rosszindulatú program második szakaszának mintája felvette a kapcsolatot egy C&C szerverrel, amelyet a MirrorFace infrastruktúra részeként belsőleg követünk.
A LiberalFace hadműveletben küldött egyik szélhámos e-mail egy konkrét japán politikai párt PR-osztályának hivatalos közleménye volt, amely a Tanácsosok Háza választásával kapcsolatos kérést tartalmazott, és állítólag egy prominens politikus nevében küldték. Az összes adathalász e-mail tartalmazott egy rosszindulatú mellékletet, amely a végrehajtás után telepítette a LODEINFO-t a feltört gépen.
Ezenkívül felfedeztük, hogy a MirrorFace korábban nem dokumentált rosszindulatú programot használt, amelyet MirrorStealer-nek neveztünk el, hogy ellopja célpontja hitelesítő adatait. Úgy gondoljuk, hogy ez az első alkalom, hogy ezt a rosszindulatú programot nyilvánosan leírták.
Ebben a blogbejegyzésben a megfigyelt kompromisszum utáni tevékenységekkel foglalkozunk, beleértve a LODEINFO-nak küldött C&C parancsokat a műveletek végrehajtásához. Az érintett gépen végzett bizonyos tevékenységek alapján úgy gondoljuk, hogy a MirrorFace kezelője manuálisan vagy félmanuálisan adott ki parancsokat a LODEINFO-nak.
Kezdeti hozzáférés
A MirrorFace június 29-én indította el a támadástth, 2022, distributing spearphishing emails with a malicious attachment to the targets. The subject of the email was SNS用動画 拡散のお願い (fordítás a Google Fordítóból: [Important] Request for spreading videos for SNS). Az 1. ábra és a 2. ábra mutatja a tartalmát.
2. ábra Fordított változat
Egy japán politikai párt PR-osztályának állítólagos MirrorFace arra kérte a címzetteket, hogy a mellékelt videókat osszák meg saját közösségimédia-profiljukon (SNS – Social Network Service), hogy tovább erősítsék a párt PR-jét és biztosítsák a győzelmet a Tanácsosok Házában. Ezenkívül az e-mail egyértelmű útmutatást ad a videók közzétételi stratégiájáról.
Mivel július 10-én tartották a tanácsosok választásátth, 2022, ez az e-mail egyértelműen jelzi, hogy a MirrorFace kereste a lehetőséget politikai entitások megtámadására. Az e-mailben szereplő konkrét tartalom azt is jelzi, hogy egy adott politikai párt tagjait célozták meg.
A MirrorFace egy másik adathalász e-mailt is használt a kampányban, ahol a melléklet címe volt 【参考】220628発・選挙管理委員会宛文書(添書分).exe (fordítás a Google Fordítóból: [Reference] 220628 Documents from the Ministry of to election administration committee (appendix).exe). A mellékelt csalidokumentum (a 3. ábrán látható) utal a Tanácsosok Háza választására is.
3. ábra A célpontnak bemutatott csali dokumentum
In both cases, the emails contained malicious attachments in the form of self-extracting WinRAR archives with deceptive names SNS用動画 拡散のお願い.exe (fordítás a Google Fordítóból: Kérés az SNS.exe videók terjesztésére) és 【参考】220628発・選挙管理委員会宛文書(添書分).exe (fordítás a Google Fordítóból: [Reference] 220628 Documents from the Ministry of to election administration committee (appendix).exe) illetőleg.
Ezek az EXE-k kivonják az archivált tartalmaikat a % TEMP% mappát. Különösen négy fájl kerül kibontásra:
- K7SysMon.exe, a K7 Computing Pvt Ltd. által kifejlesztett jóindulatú alkalmazás, amely sebezhető a DLL keresési parancsok eltérítésével szemben
- K7SysMn1.dll, egy rosszindulatú betöltő
- K7SysMon.Exe.db, titkosított LODEINFO malware
- Egy csali dokumentum
Ezután a csali dokumentumot kinyitják, hogy megtévesszék a célpontot, és jóindulatúnak tűnjenek. Utolsó lépésként K7SysMon.exe végrehajtásra kerül, amely betölti a rosszindulatú betöltőt K7SysMn1.dll leesett mellé. Végül a betöltő elolvassa a tartalmát K7SysMon.Exe.db, dekódolja, majd végrehajtja. Vegye figyelembe, hogy ezt a megközelítést a Kaspersky is megfigyelte, és leírta a saját dokumentumában jelentést.
eszközkészlet
Ebben a részben a LiberalFace műveletben használt MirrorFace rosszindulatú programot ismertetjük.
LODEINFO
A LODEINFO egy MirrorFace hátsó ajtó, amely folyamatos fejlesztés alatt áll. JPCERT beszámolt az első verzióról LODEINFO (v0.1.2), amely 2019 decembere körül jelent meg; funkcionalitása lehetővé teszi képernyőképek rögzítését, billentyűnaplózást, folyamatok leállítását, fájlok kiszűrését, valamint további fájlok és parancsok végrehajtását. Azóta több változást is megfigyeltünk az egyes verziókban. Például a 0.3.8-as verzió (amelyet először 2020 júniusában észleltünk) hozzáadta a ransom parancsot (amely titkosítja a meghatározott fájlokat és mappákat), a 0.5.6-os verzió pedig (amelyet 2021 júliusában észleltünk) hozzáadta a parancsot. config, amely lehetővé teszi az üzemeltetők számára, hogy módosítsák a beállításjegyzékben tárolt konfigurációját. A fent említett JPCERT-jelentés mellett a LODEINFO hátsó ajtó részletes elemzését is közzétették az év elején. Kaspersky.
Az Operation LiberalFace során megfigyeltük, hogy a MirrorFace operátorok mind a szokásos LODEINFO-t, mind az általunk a második fokozatú LODEINFO rosszindulatú programot használták. A második fokozatú LODEINFO az általános funkcionalitás alapján különböztethető meg a normál LODEINFO-tól. Konkrétan, a második fokozatú LODEINFO elfogadja és futtatja a PE binárisokat és a shellkódot a megvalósított parancsokon kívül. Továbbá a második fokozatú LODEINFO képes feldolgozni a C&C parancsot config, hanem a parancs funkcionalitása váltságdíj hiányzik.
Végül, a C&C szervertől kapott adatok eltérnek a normál LODEINFO és a második fokozat között. A második szakaszban a LODEINFO esetében a C&C szerver véletlenszerű weboldal-tartalmat fűz a tényleges adatokhoz. Lásd a 4., 5. és 6. ábrát, amelyek a vett adatok különbségét ábrázolják. Figyelje meg, hogy az elé fűzött kódrészlet minden fogadott adatfolyamnál eltér a második fokozatú C&C-től.
4. ábra: Az első lépcsős LODEINFO C&C-ből kapott adatok
5. ábra A második szakasz C&C-ből kapott adatok
6. ábra: Egy másik adatfolyam, amelyet a második fokozat C&C-től kapott
MirrorStealer
MirrorStealer, belső neve 31558_n.dll by MirrorFace, egy hitelesítő adatlopó. Legjobb tudomásunk szerint ezt a rosszindulatú programot nem írták le nyilvánosan. Általában a MirrorStealer különféle alkalmazások, például böngészők és e-mail kliensek hitelesítő adatait lopja el. Érdekes módon az egyik megcélzott alkalmazás az Becky!, egy e-mail kliens, amely jelenleg csak Japánban érhető el. Az összes ellopott hitelesítő adatot a rendszer tárolja %TEMP%31558.txt és mivel a MirrorStealer nem képes kiszűrni az ellopott adatokat, más rosszindulatú programoktól függ.
Kompromisszum utáni tevékenységek
Kutatásunk során megfigyelhettünk néhány olyan parancsot, amelyeket a kompromittált számítógépekre adtak ki.
Kezdeti környezeti megfigyelés
Miután a LODEINFO elindult a kompromittált gépeken, és sikeresen csatlakoztak a C&C szerverhez, egy operátor parancsokat kezdett kiadni (lásd 7. ábra).
7. ábra: Kezdeti környezeti megfigyelés a MirrorFace operátor által a LODEINFO-n keresztül
Először a kezelő kiadta az egyik LODEINFO parancsot, nyomtatás, hogy rögzítse a kompromittált gép képernyőjét. Ezt egy újabb parancs követte, ls, az aktuális mappa tartalmának megtekintéséhez, amelyben a LODEINFO található (pl. % TEMP%). Közvetlenül ezt követően az üzemeltető a LODEINFO-t használta, hogy futással hálózati információkat szerezzen be nettó nézet és a net nézet /domain. Az első parancs a hálózathoz csatlakoztatott számítógépek listáját, míg a második az elérhető tartományok listáját adja vissza.
Hitelesítési adatok és böngésző cookie-lopása
Ezen alapinformációk összegyűjtése után a kezelő a következő fázisba lépett (lásd 8. ábra).
8. ábra: A LODEINFO-nak küldött utasítások menete a hitelesítési adatlopó telepítéséhez, a hitelesítő adatok és a böngésző cookie-jainak gyűjtéséhez, valamint a C&C szerverre való kiszűréséhez
Az operátor kiadta a LODEINFO küldés parancsot az alparancstal -memória szállít MirrorStealer rosszindulatú programokat a feltört gépre. Az alparancs -memória arra használták, hogy jelezzék a LODEINFO-nak, hogy a MirrorStealer maradjon a memóriájában, ami azt jelenti, hogy a MirrorStealer bináris soha nem került a lemezre. Ezt követően a parancs emlékezet kiadták. Ez a parancs arra utasította a LODEINFO-t, hogy vegye be a MirrorStealer-t, és fecskendezze be cmd.exe folyamatot, és futtassa.
Miután a MirrorStealer összegyűjtötte a hitelesítő adatokat, és eltárolta azokat %temp%31558.txt, az operátor a LODEINFO-t használta a hitelesítő adatok kiszűrésére.
Az üzemeltető érdeklődött az áldozat böngésző cookie-jai iránt is. A MirrorStealer azonban nem képes ezeket összegyűjteni. Ezért az üzemeltető manuálisan kiszűrte a cookie-kat a LODEINFO-n keresztül. Először az operátor a LODEINFO parancsot használta dir a mappák tartalmának listázásához %LocalAppData%GoogleChrome felhasználói adatok és a %LocalAppData%MicrosoftEdgeUser adatok. Ezután az üzemeltető az összes azonosított cookie fájlt a % TEMP% mappát. Ezután a kezelő a LODEINFO paranccsal kiszűrte az összes összegyűjtött cookie fájlt recv. Végül az üzemeltető törölte a másolt cookie fájlokat a % TEMP% mappát, hogy megpróbálja eltávolítani a nyomokat.
Dokumentum- és e-mail-lopás
A következő lépésben a kezelő kiszűrte a különféle dokumentumokat, valamint a tárolt e-maileket (lásd 9. ábra).
9. ábra: A LODEINFO-nak küldött utasítások menete a kérdéses fájlok kiszűréséhez
Ehhez az operátor először a LODEINFO-t használta a WinRAR archiváló (rar.exe). használata rar.exe, az üzemeltető összegyűjtötte és archiválta a 2022-01-01 után módosított, érdekes fájlokat a mappákból %USERPROFILE% és C:$Recycle.Bin. A kezelőt minden ilyen kiterjesztésű fájl érdekelte.doki*, .ppt*, .xls*, .jtd, Eml, .*xpsés . Pdf.
Figyeljük meg, hogy a gyakori dokumentumtípusok mellett a MirrorFace a következővel rendelkező fájlok iránt is érdeklődött .jtd kiterjesztés. Ez a japán szövegszerkesztő dokumentumait képviseli Ichitaro a JustSystems fejlesztette ki.
Az archívum létrehozása után az operátor átadta a Secure Copy Protocol (SCP) klienst a PuTTY folytatás (pscp.exe), majd az imént létrehozott RAR-archívum kiszűrésére használta a címen található szerverre 45.32.13[.]180. Ezt az IP-címet nem figyelték meg a MirrorFace korábbi tevékenységei során, és nem használták C&C szerverként egyetlen általunk megfigyelt LODEINFO rosszindulatú programban sem. Közvetlenül az archívum kiszűrése után az operátort törölték rar.exe, pscp.exe, valamint a RAR archívum, hogy eltüntessük a tevékenység nyomait.
A LODEINFO második szakaszának bevezetése
Az utolsó lépés, amit megfigyeltünk, a LODEINFO második szakasza volt (lásd a 10. ábrát).
10. ábra: A LODEINFO-nak küldött utasítások folyamata a LODEINFO második szakaszának telepítéséhez
Az operátor a következő binárisokat szállította: JSESPR.dll, JsSchHlp.exeés vcruntime140. dll a kompromittált géphez. Az eredeti JsSchHlp.exe egy jóindulatú alkalmazás, amelyet a JUSTSYSTEMS CORPORATION (a korábban említett japán szövegszerkesztő, az Ichitaro gyártói) írt alá. Ebben az esetben azonban a MirrorFace operátor visszaélt egy ismert Microsoft digitális aláírás ellenőrzésével kérdés és hozzáfűzte az RC4 titkosított adatokat a JsSchHlp.exe digitális aláírás. Az említett probléma miatt a Windows továbbra is módosítottnak tekinti JsSchHlp.exe érvényesen aláírandó.
JsSchHlp.exe érzékeny a DLL oldalsó betöltésére is. Ezért végrehajtáskor az ültetett JSESPR.dll be van töltve (lásd 11. ábra).
11. ábra A LODEINFO második szakaszának végrehajtási folyamata
JSESPR.dll egy rosszindulatú betöltő, amely beolvassa a hozzáfűzött hasznos adatokat JsSchHlp.exe, dekódolja és futtatja. A hasznos teher a második fokozatú LODEINFO, és miután lefutott, a kezelő a szokásos LODEINFO-t használta a második fokozat perzisztenciájának beállítására. Különösen az üzemeltető futtatta a reg.exe nevű érték hozzáadásához JsSchHlp hoz futás elérési utat tartalmazó rendszerleíró kulcs JsSchHlp.exe.
Számunkra azonban úgy tűnik, hogy az operátornak nem sikerült megfelelően kommunikálnia a második fokozatú LODEINFO-val a C&C szerverrel. Ezért a második fokozatú LODEINFO-t használó operátor további lépései ismeretlenek számunkra.
Érdekes megfigyelések
A vizsgálat során néhány érdekes megfigyelést tettünk. Az egyik az, hogy a kezelő néhány hibát és elírást vétett, amikor parancsokat adott ki a LODEINFO-nak. Például az operátor elküldte a karakterláncot cmd /c könyvtár "c:use" a LODEINFO-hoz, aminek nagy valószínűséggel annak kellett lennie cmd /c könyvtár "c:users".
Ez arra utal, hogy a kezelő manuálisan vagy félkézi módon ad ki parancsokat a LODEINFO-nak.
Következő megfigyelésünk az, hogy bár a kezelő néhány tisztítást végzett a kompromisszum nyomainak eltávolítására, elfelejtette törölni %temp%31558.txt – az ellopott hitelesítő adatokat tartalmazó napló. Így legalább ez a nyom megmaradt a kompromittált gépen, és azt mutatja, hogy a kezelő nem volt alapos a tisztítási folyamatban.
Következtetés
A MirrorFace továbbra is nagy értékű célokat tűz ki Japánban. A LiberalFace hadműveletben kifejezetten a politikai entitásokat célozta meg, kihasználva az akkori tanácsosok házának közelgő választását. Még érdekesebb, hogy eredményeink azt mutatják, hogy a MirrorFace különösen egy adott politikai párt tagjaira összpontosított.
Az Operation LiberalFace vizsgálata során további MirrorFace TTP-ket sikerült feltárnunk, például további rosszindulatú programok és eszközök telepítését és felhasználását az áldozatok értékes adatok gyűjtésére és kiszűrésére. Vizsgálatunk során ráadásul kiderült, hogy a MirrorFace kezelői némileg figyelmetlenek, nyomokat hagynak maguk után, és különféle hibákat követnek el.
Az ESET Research privát APT intelligenciajelentéseket és adatfolyamokat is kínál. Ha bármilyen kérdése van a szolgáltatással kapcsolatban, keresse fel a ESET Threat Intelligence cimre.
IoCs
Fájlok
| SHA-1 | Filename | ESET észlelési név | Leírás |
|---|---|---|---|
| F4691FF3B3ACD15653684F372285CAC36C8D0AEF | K7SysMn1.dll | Win32/Agent.ACLP | LODEINFO rakodógép. |
| DB81C8719DDAAE40C8D9B9CA103BBE77BE4FCE6C | K7SysMon.Exe.db | N / A | Titkosított LODEINFO. |
| A8D2BE15085061B753FDEBBDB08D301A034CE1D5 | JsSchHlp.exe | Win32/Agent.ACLP | JsSchHlp.exe a hozzáfűzött titkosított második fokozatú LODEINFO-val a biztonsági címtár. |
| 0AB7BB3FF583E50FBF28B288E71D3BB57F9D1395 | JSESPR.dll | Win32/Agent.ACLP | Második fokozatú LODEINFO rakodó. |
| E888A552B00D810B5521002304D4F11BC249D8ED | 31558_n.dll | Win32/Agent.ACLP | MirrorStealer hitelesítő adatlopó. |
Hálózat
| IP | Provider | Először látták | Részletek |
|---|---|---|---|
| 5.8.95[.]174 | G-Core Labs SA | 2022-06-13 | LODEINFO C&C szerver. |
| 45.32.13[.]180 | AS-CHOOPA | 2022-06-29 | Szerver az adatok kiszűréséhez. |
| 103.175.16[.]39 | Gigabit Hosting Sdn Bhd | 2022-06-13 | LODEINFO C&C szerver. |
| 167.179.116[.]56 | AS-CHOOPA | 2021-10-20 | www.ninesmn[.]com, második fokozatú LODEINFO C&C szerver. |
| 172.105.217[.]233 | Linode, LLC | 2021-11-14 | www.aesorunwe[.]com, második fokozatú LODEINFO C&C szerver. |
MITER ATT&CK technikák
Ez a táblázat felhasználásával készült 12 verzió a MITER ATT&CK keretrendszer.
Vegye figyelembe, hogy bár ez a blogbejegyzés nem ad teljes áttekintést a LODEINFO képességeiről, mivel ez az információ már elérhető más kiadványokban, az alábbi MITER ATT&CK táblázat tartalmazza az összes kapcsolódó technikát.
| taktika | ID | Név | Leírás |
|---|---|---|---|
| Kezdeti hozzáférés | T1566.001 | Adathalászat: Adathalász melléklet | Egy rosszindulatú WinRAR SFX archívum csatolva van egy adathalász e-mailhez. |
| Végrehajtás | T1106 | Natív API | A LODEINFO a fájlokat a CreateProcessA API. |
| T1204.002 | Felhasználói végrehajtás: rosszindulatú fájl | A MirrorFace kezelői arra számítanak, hogy az áldozat megnyitja az e-mailben küldött rosszindulatú mellékletet. | |
| T1559.001 | Folyamatközi kommunikáció: komponens-objektum modell | A LODEINFO parancsokat tud végrehajtani a Component Object Model segítségével. | |
| Kitartás | T1547.001 | Indítási vagy bejelentkezési automatikus indítás végrehajtása: Rendszerleíró adatbázis futtatási kulcsai / Indítómappa | A LODEINFO egy bejegyzést ad hozzá a HKCU futtatása kulcs a kitartás biztosításához.
Megfigyeltük, hogy a MirrorFace kezelői manuálisan adnak hozzá bejegyzést a HKCU futtatása kulcs a LODEINFO második szakaszának tartósságának biztosításához. |
| Védelmi kijátszás | T1112 | Módosítsa a nyilvántartást | A LODEINFO a beállításjegyzékben tárolhatja konfigurációját. |
| T1055 | Injekciós folyamat | A LODEINFO képes beszúrni a shellkódot cmd.exe. | |
| T1140 | Fájlok vagy információk deobfuszkálása/dekódolása | A LODEINFO betöltő egybájtos XOR vagy RC4 segítségével dekódolja a hasznos adatokat. | |
| T1574.002 | Eltérítési végrehajtási folyamat: DLL oldalsó betöltés | A MirrorFace oldalra tölti be a LODEINFO-t egy rosszindulatú könyvtár és egy legitim végrehajtható fájl (pl. K7SysMon.exe). | |
| Felfedezés | T1082 | Rendszerinformációk felfedezése | A LODEINFO ujjlenyomatot vesz a feltört gépről. |
| T1083 | Fájl- és könyvtárfelderítés | A LODEINFO fájl- és könyvtárlistákat szerezhet be. | |
| T1057 | Felfedezés | A LODEINFO listázhatja a futó folyamatokat. | |
| T1033 | Rendszertulajdonos/felhasználó felfedezése | A LODEINFO megszerezheti az áldozat felhasználónevét. | |
| T1614.001 | Rendszerhely-felderítés: Rendszernyelv-felderítés | A LODEINFO ellenőrzi a rendszer nyelvét annak ellenőrzésére, hogy nem fut-e az angol nyelv használatára beállított gépen. | |
| Gyűjtemény | T1560.001 | Az összegyűjtött adatok archiválása: Archiválás a segédprogramon keresztül | Megfigyeltük, hogy a MirrorFace operátorok archiválják az összegyűjtött adatokat a RAR archiváló segítségével. |
| T1114.001 | E-mail gyűjtemény: Helyi e-mail gyűjtemény | Megfigyeltük, hogy a MirrorFace operátorok gyűjtik a tárolt e-mail üzeneteket. | |
| T1056.001 | Bemenet rögzítése: Keylogging | A LODEINFO billentyűnaplózást végez. | |
| T1113 | Screen Capture | A LODEINFO képernyőképet kaphat. | |
| T1005 | Adatok a helyi rendszerből | Megfigyeltük, hogy a MirrorFace operátorok gyűjtik és kiszűrik az érdeklődésre számot tartó adatokat. | |
| Vezetési és Irányítási | T1071.001 | Alkalmazási réteg protokoll: Web Protocols | A LODEINFO a HTTP protokollt használja a C&C szerverével való kommunikációhoz. |
| T1132.001 | Adatkódolás: Szabványos kódolás | A LODEINFO URL-biztos base64-et használ a C&C forgalom kódolásához. | |
| T1573.001 | Titkosított csatorna: Szimmetrikus kriptográfia | A LODEINFO az AES-256-CBC-t használja a C&C forgalom titkosításához. | |
| T1001.001 | Adatok elhomályosítása: levélszemét | A második fokozatú LODEINFO C&C a levélszemét elé fűzi az elküldött adatokat. | |
| Kiszűrés | T1041 | Exfiltration Over C2 Channel | A LODEINFO képes kiszűrni a fájlokat a C&C szerverre. |
| T1071.002 | Alkalmazási réteg protokoll: Fájlátviteli protokollok | A MirrorFace-t a Secure Copy Protocol (SCP) segítségével figyeltük meg az összegyűjtött adatok kiszűrésére. | |
| Hatás | T1486 | Adatok titkosítva a hatás érdekében | A LODEINFO képes titkosítani a fájlokat az áldozat gépén. |
- blockchain
- coingenius
- cryptocurrency pénztárcák
- titkosítás
- kiberbiztonság
- kiberbűnözők
- Kiberbiztonság
- belbiztonsági osztály
- digitális pénztárcák
- ESET kutatás
- tűzfal
- Kaspersky
- malware
- McAfee
- NexBLOC
- Plató
- plato ai
- Platón adatintelligencia
- Platón játék
- PlatoData
- platogaming
- VPN
- Biztonságban élünk
- A honlap biztonsága
- zephyrnet
