Peneliti ESET menemukan kampanye spearphishing yang menargetkan entitas politik Jepang beberapa minggu sebelum pemilihan House of Councilors, dan dalam prosesnya mengungkap pencuri kredensial MirrorFace yang sebelumnya tidak terdeskripsikan.
Peneliti ESET menemukan kampanye spearphishing, diluncurkan pada minggu-minggu menjelang Pemilihan Dewan Penasihat Jepang pada Juli 2022, oleh grup APT yang dilacak ESET Research sebagai MirrorFace. Kampanye, yang kami beri nama Operasi LiberalFace, menargetkan entitas politik Jepang; investigasi kami mengungkapkan bahwa anggota partai politik tertentu menjadi fokus khusus dalam kampanye ini. Riset ESET mengungkap detail tentang kampanye ini dan grup APT di belakangnya di konferensi AVAR 2022 di awal bulan ini.
- Pada akhir Juni 2022, MirrorFace meluncurkan kampanye, yang kami beri nama Operasi LiberalFace, yang menargetkan entitas politik Jepang.
- Pesan email spearphishing yang berisi LODEINFO pintu belakang andalan grup dikirim ke target.
- LODEINFO digunakan untuk mengirimkan malware tambahan, mengekstrak kredensial korban, dan mencuri dokumen dan email korban.
- Pencuri kredensial yang sebelumnya tidak terdeskripsikan yang kami beri nama MirrorStealer digunakan dalam Operasi LiberalFace.
- Penelitian ESET melakukan analisis kegiatan pasca-kompromi, yang menunjukkan bahwa tindakan yang diamati dilakukan secara manual atau semi-manual.
- Detail tentang kampanye ini dibagikan di konferensi AVAR 2022.
MirrorFace adalah aktor ancaman berbahasa Mandarin yang menargetkan perusahaan dan organisasi yang berbasis di Jepang. Meskipun ada beberapa spekulasi bahwa pelaku ancaman ini mungkin terkait dengan APT10 (Macnica, Kaspersky), ESET tidak dapat mengaitkannya dengan grup APT yang dikenal. Oleh karena itu, kami melacaknya sebagai entitas terpisah yang kami beri nama MirrorFace. Secara khusus, MirrorFace dan LODEINFO, malware miliknya yang digunakan secara eksklusif terhadap target di Jepang, telah melaporkan sebagai media penargetan, perusahaan terkait pertahanan, wadah pemikir, organisasi diplomatik, dan lembaga akademik. Tujuan MirrorFace adalah spionase dan eksfiltrasi file yang diminati.
Kami mengaitkan Operasi LiberalFace ke MirrorFace berdasarkan indikator ini:
- Sepengetahuan kami, malware LODEINFO secara eksklusif digunakan oleh MirrorFace.
- Target Operasi LiberalFace sejalan dengan penargetan MirrorFace tradisional.
- Sampel malware LODEINFO tahap kedua menghubungi server C&C yang kami lacak secara internal sebagai bagian dari infrastruktur MirrorFace.
Salah satu email spearphishing yang dikirim dalam Operasi LiberalFace berpose sebagai komunikasi resmi dari departemen PR dari partai politik Jepang tertentu, berisi permintaan terkait pemilihan Dewan Anggota Dewan, dan konon dikirim atas nama politisi terkemuka. Semua email spearphishing berisi lampiran berbahaya yang setelah eksekusi menyebarkan LODEINFO pada mesin yang disusupi.
Selain itu, kami menemukan bahwa MirrorFace telah menggunakan malware yang sebelumnya tidak berdokumen, yang kami beri nama MirrorStealer, untuk mencuri kredensial targetnya. Kami yakin ini adalah pertama kalinya malware ini dideskripsikan secara publik.
Dalam postingan blog ini, kami membahas aktivitas pasca-kompromi yang diamati, termasuk perintah C&C yang dikirim ke LODEINFO untuk menjalankan tindakan. Berdasarkan aktivitas tertentu yang dilakukan pada mesin yang terpengaruh, menurut kami operator MirrorFace mengeluarkan perintah ke LODEINFO secara manual atau semi-manual.
Akses awal
MirrorFace memulai serangan pada 29 Junith, 2022, mendistribusikan email spearphishing dengan lampiran berbahaya ke target. Subjek emailnya adalah SNS用動画 拡散のお願い (terjemahan dari Google Translate: [Penting] Permintaan untuk menyebarkan video untuk SNS). Gambar 1 dan Gambar 2 menunjukkan isinya.
Mengaku sebagai departemen PR partai politik Jepang, MirrorFace meminta penerima untuk mendistribusikan video terlampir di profil media sosial mereka sendiri (SNS – Layanan Jejaring Sosial) untuk lebih memperkuat PR partai dan mengamankan kemenangan di House of Councillors. Selain itu, email tersebut memberikan instruksi yang jelas tentang strategi publikasi video.
Sejak pemilihan Dewan Penasihat diadakan pada 10 Julith, 2022, email ini dengan jelas menunjukkan bahwa MirrorFace mencari peluang untuk menyerang entitas politik. Selain itu, konten tertentu dalam email menunjukkan bahwa anggota partai politik tertentu menjadi sasaran.
MirrorFace juga menggunakan email spearphishing lain dalam kampanye, di mana lampiran diberi judul 【参考】 220628発・選挙管理委員会宛文書(添書分)exe (terjemahan dari Google Terjemahan: [Referensi] 220628 Dokumen dari Kementerian kepada panitia penyelenggara pemilu (lampiran).exe). Dokumen umpan terlampir (ditunjukkan pada Gambar 3) juga merujuk pada pemilihan Dewan Anggota Dewan.
Dalam kedua kasus tersebut, email tersebut berisi lampiran berbahaya dalam bentuk arsip WinRAR yang mengekstraksi sendiri dengan nama yang menipu.exe (terjemahan dari Google Terjemahan: Permintaan untuk menyebarkan video untuk SNS.exe) dan 【参考】220628発・選挙管理委員会宛文書(添書分)exe (terjemahan dari Google Terjemahan: [Referensi] 220628 Dokumen dari Kementerian kepada panitia penyelenggara pemilu (lampiran).exe) masing.
EXE ini mengekstrak konten yang diarsipkan ke dalam % TEMP% map. Secara khusus, empat file diekstraksi:
- K7SysMon.exe, aplikasi jinak yang dikembangkan oleh K7 Computing Pvt Ltd yang rentan terhadap pembajakan pesanan pencarian DLL
- K7SysMn1.dll, pemuat berbahaya
- K7SysMon.Exe.db, malware LODEINFO terenkripsi
- Sebuah dokumen umpan
Kemudian, dokumen umpan dibuka untuk menipu target dan tampil jinak. Sebagai langkah terakhir, K7SysMon.exe dieksekusi yang memuat loader berbahaya K7SysMn1.dll jatuh di sampingnya. Terakhir, loader membaca konten dari K7SysMon.Exe.db, mendekripsinya, lalu mengeksekusinya. Perhatikan bahwa pendekatan ini juga diamati oleh Kaspersky dan dijelaskan dalam melaporkan.
Toolset
Di bagian ini, kami menjelaskan malware MirrorFace yang digunakan dalam Operasi LiberalFace.
INFO LODE
LODEINFO adalah backdoor MirrorFace yang terus dikembangkan. JPCERT melaporkan tentang versi pertama dari LODEINFO (v0.1.2), yang muncul sekitar Desember 2019; fungsinya memungkinkan menangkap tangkapan layar, keylogging, proses mematikan, mengekstraksi file, dan menjalankan file dan perintah tambahan. Sejak saat itu, kami telah mengamati beberapa perubahan yang diperkenalkan pada setiap versinya. Misalnya, versi 0.3.8 (yang pertama kali kami deteksi pada Juni 2020) menambahkan perintah ransom (yang mengenkripsi file dan folder yang ditentukan), dan versi 0.5.6 (yang kami deteksi pada Juli 2021) menambahkan perintah config, yang memungkinkan operator untuk mengubah konfigurasinya yang disimpan dalam registri. Selain laporan JPCERT yang disebutkan di atas, analisis terperinci dari backdoor LODEINFO juga diterbitkan awal tahun ini oleh Kaspersky.
Dalam Operasi LiberalFace, kami mengamati operator MirrorFace menggunakan LODEINFO reguler dan apa yang kami sebut malware LODEINFO tahap kedua. LODEINFO tahap kedua dapat dibedakan dari LODEINFO biasa dengan melihat fungsionalitas keseluruhan. Secara khusus, LODEINFO tahap kedua menerima dan menjalankan binari PE dan kode shell di luar perintah yang diterapkan. Selanjutnya, LODEINFO tahap kedua dapat memproses perintah C&C config, tetapi fungsionalitas untuk perintah tebusan hilang.
Akhirnya, data yang diterima dari server C&C berbeda antara LODEINFO reguler dan tahap kedua. Untuk LODEINFO tahap kedua, server C&C menambahkan konten halaman web acak ke data aktual. Lihat Gambar 4, Gambar 5, dan Gambar 6 yang menggambarkan perbedaan data yang diterima. Perhatikan potongan kode yang diawali berbeda untuk setiap aliran data yang diterima dari K&C tahap kedua.
Pencuri Cermin
MirrorStealer, bernama internal 31558_n.dll oleh MirrorFace, adalah pencuri kredensial. Sepengetahuan kami, malware ini belum dijelaskan secara publik. Secara umum, MirrorStealer mencuri kredensial dari berbagai aplikasi seperti browser dan klien email. Menariknya, salah satu aplikasi yang diincar adalah Becky!, klien email yang saat ini hanya tersedia di Jepang. Semua kredensial yang dicuri disimpan di %TEMP%31558.txt dan karena MirrorStealer tidak memiliki kemampuan untuk mengekstraksi data yang dicuri, itu tergantung pada malware lain untuk melakukannya.
Kegiatan pasca-kompromi
Selama penelitian kami, kami dapat mengamati beberapa perintah yang dikeluarkan untuk komputer yang disusupi.
Pengamatan lingkungan awal
Setelah LODEINFO diluncurkan pada mesin yang dikompromikan dan mereka berhasil terhubung ke server C&C, operator mulai mengeluarkan perintah (lihat Gambar 7).
Pertama, operator mengeluarkan salah satu perintah LODEINFO, mencetak, untuk menangkap layar mesin yang disusupi. Ini diikuti oleh perintah lain, ls, untuk melihat konten folder saat ini di mana LODEINFO berada (yaitu, % TEMP%). Tepat setelah itu, operator menggunakan LODEINFO untuk mendapatkan informasi jaringan dengan menjalankan tampilan bersih dan tampilan bersih/domain. Perintah pertama mengembalikan daftar komputer yang terhubung ke jaringan, sedangkan yang kedua mengembalikan daftar domain yang tersedia.
Pencurian kredensial dan cookie browser
Setelah mengumpulkan informasi dasar ini, operator beralih ke fase berikutnya (lihat Gambar 8).
Operator mengeluarkan perintah LODEINFO kirim dengan subperintah -Penyimpanan mengantarkan Pencuri Cermin malware ke mesin yang disusupi. Subkomando -Penyimpanan digunakan untuk menunjukkan kepada LODEINFO untuk menyimpan MirrorStealer dalam memorinya, yang berarti biner MirrorStealer tidak pernah dijatuhkan pada disk. Selanjutnya, perintah ingatan dikeluarkan. Perintah ini menginstruksikan LODEINFO untuk mengambil MirrorStealer, menyuntikkannya ke dalam pemijahan cmd.exe memproses, dan menjalankannya.
Setelah MirrorStealer mengumpulkan kredensial dan menyimpannya %temp%31558.txt, operator menggunakan LODEINFO untuk mengekstrak kredensial.
Operator juga tertarik dengan cookie browser korban. Namun, MirrorStealer tidak memiliki kemampuan untuk mengumpulkannya. Oleh karena itu, operator mengekstrak cookie secara manual melalui LODEINFO. Pertama, operator menggunakan perintah LODEINFO dir untuk membuat daftar isi folder %LocalAppData%Data Pengguna Google Chrome dan %LocalAppData%Data Pengguna MicrosoftEdge. Kemudian, operator menyalin semua file cookie yang teridentifikasi ke dalam % TEMP% map. Selanjutnya, operator mengekstraksi semua file cookie yang dikumpulkan menggunakan perintah LODEINFO menerima. Terakhir, operator menghapus file cookie yang disalin dari % TEMP% folder dalam upaya untuk menghapus jejak.
Pencurian dokumen dan email
Pada langkah selanjutnya, operator mengeksfiltrasi dokumen dari berbagai jenis serta menyimpan email (lihat Gambar 9).
Untuk itu, operator terlebih dahulu menggunakan LODEINFO untuk mengirimkan pengarsipan WinRAR (rar.exe). Menggunakan rar.exe, operator mengumpulkan dan mengarsipkan file menarik yang diubah setelah 2022-01-01 dari folder %USERPROFILE% dan C:$Recycle.Bin. Operator tertarik pada semua file seperti itu dengan ekstensi .dokter*, .ppt*, .xls*, .jtd, .eml, .*xps, dan .pdf.
Perhatikan bahwa selain jenis dokumen umum, MirrorFace juga tertarik dengan file dengan .jtd perpanjangan. Ini merupakan dokumen dari pengolah kata Jepang Ichitaro dikembangkan oleh JustSystems.
Setelah arsip dibuat, operator mengirimkan klien Secure Copy Protocol (SCP) dari Putty lanjutan (pscp.exe) dan kemudian menggunakannya untuk mengekstraksi arsip RAR yang baru saja dibuat ke server di 45.32.13[.]180. Alamat IP ini belum diamati dalam aktivitas MirrorFace sebelumnya dan belum pernah digunakan sebagai server C&C di malware LODEINFO mana pun yang telah kami amati. Tepat setelah arsip diekstraksi, operator menghapusnya rar.exe, pscp.exe, dan arsip RAR untuk membersihkan jejak aktivitas.
Penerapan LODEINFO tahap kedua
Langkah terakhir yang kami amati adalah mengirimkan LODEINFO tahap kedua (lihat Gambar 10).
Operator mengirimkan binari berikut: JSESPR.dll, JsSchHlp.exe, dan vcruntime140.dll ke mesin yang dikompromikan. Asli JsSchHlp.exe adalah aplikasi jinak yang ditandatangani oleh JUSTSYSTEMS CORPORATION (pembuat pengolah kata Jepang yang disebutkan sebelumnya, Ichitaro). Namun, dalam kasus ini operator MirrorFace menyalahgunakan verifikasi tanda tangan digital Microsoft yang dikenal isu dan menambahkan data terenkripsi RC4 ke JsSchHlp.exe tanda tangan digital. Karena masalah tersebut, Windows masih mempertimbangkan yang dimodifikasi JsSchHlp.exe untuk ditandatangani secara sah.
JsSchHlp.exe juga rentan terhadap pemuatan samping DLL. Oleh karena itu, pada saat eksekusi, ditanam JSESPR.dll dimuat (lihat Gambar 11).
JSESPR.dll adalah pemuat berbahaya yang membaca muatan yang ditambahkan dari JsSchHlp.exe, mendekripsinya, dan menjalankannya. Payload adalah LODEINFO tahap kedua, dan setelah dijalankan, operator menggunakan LODEINFO biasa untuk menyetel persistensi tahap kedua. Secara khusus, operator menjalankan reg.exe utilitas untuk menambahkan nilai bernama JsSchHlp ke Run kunci registri memegang jalan ke JsSchHlp.exe.
Namun, tampaknya operator tidak berhasil membuat LODEINFO tahap kedua berkomunikasi dengan benar dengan server C&C. Oleh karena itu, langkah lebih lanjut dari operator yang menggunakan LODEINFO tahap kedua tetap tidak kami ketahui.
Pengamatan yang menarik
Selama penyelidikan, kami membuat beberapa pengamatan menarik. Salah satunya adalah operator membuat beberapa kesalahan dan kesalahan ketik saat mengeluarkan perintah ke LODEINFO. Misalnya, operator mengirim string cmd /c dir "c: gunakan" ke LODEINFO, yang kemungkinan besar seharusnya cmd /c dir "c:pengguna".
Ini menunjukkan bahwa operator mengeluarkan perintah ke LODEINFO secara manual atau semi-manual.
Pengamatan kami berikutnya adalah bahwa meskipun operator melakukan beberapa pembersihan untuk menghilangkan jejak penyusupan, operator lupa untuk menghapusnya %temp%31558.txt – log yang berisi kredensial yang dicuri. Jadi, setidaknya jejak ini tetap ada di mesin yang disusupi dan menunjukkan kepada kita bahwa operator tidak teliti dalam proses pembersihan.
Kesimpulan
MirrorFace terus membidik target bernilai tinggi di Jepang. Dalam Operasi LiberalFace, itu secara khusus menargetkan entitas politik menggunakan pemilihan Dewan Penasihat yang akan datang untuk keuntungannya. Lebih menarik lagi, temuan kami menunjukkan bahwa MirrorFace secara khusus berfokus pada anggota partai politik tertentu.
Selama investigasi Operasi LiberalFace, kami berhasil mengungkap TTP MirrorFace lebih lanjut, seperti penerapan dan penggunaan malware tambahan dan alat untuk mengumpulkan dan mengekstraksi data berharga dari korban. Selain itu, penyelidikan kami mengungkapkan bahwa operator MirrorFace agak ceroboh, meninggalkan jejak, dan melakukan berbagai kesalahan.
ESET Research juga menawarkan laporan intelijen APT pribadi dan umpan data. Untuk pertanyaan tentang layanan ini, kunjungi Intelijen Ancaman ESET .
IoC
File
SHA-1 | Filename | Nama deteksi ESET | Deskripsi Produk |
---|---|---|---|
F4691FF3B3ACD15653684F372285CAC36C8D0AEF | K7SysMn1.dll | Win32/Agen.ACLP | pemuat LODEINFO. |
DB81C8719DDAAE40C8D9B9CA103BBE77BE4FCE6C | K7SysMon.Exe.db | N / A | LODEINFO terenkripsi. |
A8D2BE15085061B753FDEBBDB08D301A034CE1D5 | JsSchHlp.exe | Win32/Agen.ACLP | JsSchHlp.exe dengan menambahkan LODEINFO tahap kedua terenkripsi di direktori keamanan. |
0AB7BB3FF583E50FBF28B288E71D3BB57F9D1395 | JSESPR.dll | Win32/Agen.ACLP | Pemuat LODEINFO tahap kedua. |
E888A552B00D810B5521002304D4F11BC249D8ED | 31558_n.dll | Win32/Agen.ACLP | Pencuri kredensial MirrorStealer. |
jaringan
IP | Penyedia | Pertama kali melihat | Rincian |
---|---|---|---|
5.8.95[.]174 | Lab G-Core SA | 2022-06-13 | Server K&C LODEINFO. |
45.32.13[.]180 | AS-CHOOPA | 2022-06-29 | Server untuk eksfiltrasi data. |
103.175.16[.]39 | Gigabit Hosting Sdn Bhd | 2022-06-13 | Server K&C LODEINFO. |
167.179.116[.]56 | AS-CHOOPA | 2021-10-20 | www.ninesmn[.]com, server K&C LODEINFO tahap kedua. |
172.105.217[.]233 | Linode, LLC | 2021-11-14 | www.aesorunwe[.]com, server K&C LODEINFO tahap kedua. |
Teknik ATT&CK MITER
Tabel ini dibuat menggunakan versi 12 dari kerangka MITRE ATT&CK.
Perhatikan bahwa meskipun postingan blog ini tidak memberikan ikhtisar lengkap tentang kemampuan LODEINFO karena informasi ini sudah tersedia di publikasi lain, tabel MITRE ATT&CK di bawah berisi semua teknik yang terkait dengannya.
Taktik | ID | Nama | Deskripsi Produk |
---|---|---|---|
Akses Awal | T1566.001 | Phishing: Lampiran Spearphishing | Arsip WinRAR SFX berbahaya dilampirkan ke email spearphishing. |
Execution | T1106 | API asli | LODEINFO dapat mengeksekusi file menggunakan Membuat ProsesA API. |
T1204.002 | Eksekusi Pengguna: File Berbahaya | Operator MirrorFace mengandalkan korban untuk membuka lampiran berbahaya yang dikirim melalui email. | |
T1559.001 | Komunikasi Antar Proses: Model Objek Komponen | LODEINFO dapat menjalankan perintah melalui Model Objek Komponen. | |
Ketekunan | T1547.001 | Eksekusi Autostart Boot atau Logon: Kunci Jalankan Registri / Folder Startup | LODEINFO menambahkan entri ke Jalankan HKCU kunci untuk memastikan ketekunan.
Kami mengamati operator MirrorFace secara manual menambahkan entri ke Jalankan HKCU kunci untuk memastikan kegigihan untuk LODEINFO tahap kedua. |
Penghindaran Pertahanan | T1112 | Ubah Registri | LODEINFO dapat menyimpan konfigurasinya di registri. |
T1055 | Proses Injeksi | LODEINFO dapat menyuntikkan kode shell ke cmd.exe. | |
T1140 | Deobfuscate/Decode File atau Informasi | Loader LODEINFO mendekripsi muatan menggunakan XOR atau RC4 byte tunggal. | |
T1574.002 | Alur Eksekusi Pembajakan: Pemuatan Samping DLL | MirrorFace memuat LODEINFO dengan melepaskan perpustakaan berbahaya dan file yang dapat dieksekusi yang sah (misalnya, K7SysMon.exe). | |
penemuan | T1082 | Penemuan Informasi Sistem | LODEINFO sidik jari mesin yang disusupi. |
T1083 | Penemuan File dan Direktori | LODEINFO dapat memperoleh daftar file dan direktori. | |
T1057 | Proses Penemuan | LODEINFO dapat mencantumkan proses yang sedang berjalan. | |
T1033 | Pemilik Sistem/Penemuan Pengguna | LODEINFO dapat memperoleh nama pengguna korban. | |
T1614.001 | Penemuan Lokasi Sistem: Penemuan Bahasa Sistem | LODEINFO memeriksa bahasa sistem untuk memverifikasi bahwa itu tidak berjalan pada mesin yang diatur untuk menggunakan bahasa Inggris. | |
Koleksi | T1560.001 | Arsipkan Data yang Dikumpulkan: Arsipkan melalui Utilitas | Kami mengamati operator MirrorFace mengarsipkan data yang dikumpulkan menggunakan pengarsipan RAR. |
T1114.001 | Koleksi Email: Koleksi Email Lokal | Kami mengamati operator MirrorFace mengumpulkan pesan email yang tersimpan. | |
T1056.001 | Pengambilan Masukan: Keylogging | LODEINFO melakukan keylogging. | |
T1113 | screen Capture | LODEINFO dapat memperoleh tangkapan layar. | |
T1005 | Data dari Sistem Lokal | Kami mengamati operator MirrorFace mengumpulkan dan mengekstraksi data yang menarik. | |
Komando dan Pengendalian | T1071.001 | Protokol Lapisan Aplikasi: Protokol Web | LODEINFO menggunakan protokol HTTP untuk berkomunikasi dengan server C&C-nya. |
T1132.001 | Pengodean Data: Pengodean Standar | LODEINFO menggunakan URL-safe base64 untuk menyandikan lalu lintas C&C-nya. | |
T1573.001 | Saluran Terenkripsi: Kriptografi Simetris | LODEINFO menggunakan AES-256-CBC untuk mengenkripsi lalu lintas C&C. | |
T1001.001 | Kebingungan Data: Data Sampah | K&C LODEINFO tahap kedua menambahkan sampah ke data yang dikirim. | |
exfiltration | T1041 | Eksfiltrasi Melalui Saluran C2 | LODEINFO dapat mengekstraksi file ke server C&C. |
T1071.002 | Protokol Lapisan Aplikasi: Protokol Transfer File | Kami mengamati MirrorFace menggunakan Secure Copy Protocol (SCP) untuk mengekstraksi data yang dikumpulkan. | |
Dampak | T1486 | Data Dienkripsi untuk Dampak | LODEINFO dapat mengenkripsi file di mesin korban. |
- blockchain
- kecerdasan
- dompet cryptocurrency
- pertukaran kripto
- keamanan cyber
- penjahat cyber
- Keamanan cyber
- Departemen Keamanan Dalam Negeri
- dompet digital
- Riset ESET
- firewall
- Kaspersky
- malware
- mcafe
- BerikutnyaBLOC
- plato
- plato ai
- Kecerdasan Data Plato
- Permainan Plato
- Data Plato
- permainan plato
- VPN
- Kami Hidup Keamanan
- website security
- zephyrnet.dll