Unmasking MirrorFace: Operasi LiberalFace menargetkan entitas politik Jepang

Peneliti ESET menemukan kampanye spearphishing, diluncurkan pada minggu-minggu menjelang Pemilihan Dewan Penasihat Jepang pada Juli 2022, oleh grup APT yang dilacak ESET Research sebagai MirrorFace. Kampanye, yang kami beri nama Operasi LiberalFace, menargetkan entitas politik Jepang; investigasi kami mengungkapkan bahwa anggota partai politik tertentu menjadi fokus khusus dalam kampanye ini. Riset ESET mengungkap detail tentang kampanye ini dan grup APT di belakangnya di konferensi AVAR 2022 di awal bulan ini.

MirrorFace adalah aktor ancaman berbahasa Mandarin yang menargetkan perusahaan dan organisasi yang berbasis di Jepang. Meskipun ada beberapa spekulasi bahwa pelaku ancaman ini mungkin terkait dengan APT10 (Macnica, Kaspersky), ESET tidak dapat mengaitkannya dengan grup APT yang dikenal. Oleh karena itu, kami melacaknya sebagai entitas terpisah yang kami beri nama MirrorFace. Secara khusus, MirrorFace dan LODEINFO, malware miliknya yang digunakan secara eksklusif terhadap target di Jepang, telah melaporkan sebagai media penargetan, perusahaan terkait pertahanan, wadah pemikir, organisasi diplomatik, dan lembaga akademik. Tujuan MirrorFace adalah spionase dan eksfiltrasi file yang diminati.

Kami mengaitkan Operasi LiberalFace ke MirrorFace berdasarkan indikator ini:

• Sepengetahuan kami, malware LODEINFO secara eksklusif digunakan oleh MirrorFace.
• Target Operasi LiberalFace sejalan dengan penargetan MirrorFace tradisional.
• Sampel malware LODEINFO tahap kedua menghubungi server C&C yang kami lacak secara internal sebagai bagian dari infrastruktur MirrorFace.

Salah satu email spearphishing yang dikirim dalam Operasi LiberalFace berpose sebagai komunikasi resmi dari departemen PR dari partai politik Jepang tertentu, berisi permintaan terkait pemilihan Dewan Anggota Dewan, dan konon dikirim atas nama politisi terkemuka. Semua email spearphishing berisi lampiran berbahaya yang setelah eksekusi menyebarkan LODEINFO pada mesin yang disusupi.

Selain itu, kami menemukan bahwa MirrorFace telah menggunakan malware yang sebelumnya tidak berdokumen, yang kami beri nama MirrorStealer, untuk mencuri kredensial targetnya. Kami yakin ini adalah pertama kalinya malware ini dideskripsikan secara publik.

Dalam postingan blog ini, kami membahas aktivitas pasca-kompromi yang diamati, termasuk perintah C&C yang dikirim ke LODEINFO untuk menjalankan tindakan. Berdasarkan aktivitas tertentu yang dilakukan pada mesin yang terpengaruh, menurut kami operator MirrorFace mengeluarkan perintah ke LODEINFO secara manual atau semi-manual.

Akses awal

MirrorFace memulai serangan pada 29 Juni^th, 2022, mendistribusikan email spearphishing dengan lampiran berbahaya ke target. Subjek emailnya adalah SNS用動画 拡散のお願い (terjemahan dari Google Translate: [Penting] Permintaan untuk menyebarkan video untuk SNS). Gambar 1 dan Gambar 2 menunjukkan isinya.

Gambar 2. Versi terjemahan

Mengaku sebagai departemen PR partai politik Jepang, MirrorFace meminta penerima untuk mendistribusikan video terlampir di profil media sosial mereka sendiri (SNS – Layanan Jejaring Sosial) untuk lebih memperkuat PR partai dan mengamankan kemenangan di House of Councillors. Selain itu, email tersebut memberikan instruksi yang jelas tentang strategi publikasi video.

Sejak pemilihan Dewan Penasihat diadakan pada 10 Juli^th, 2022, email ini dengan jelas menunjukkan bahwa MirrorFace mencari peluang untuk menyerang entitas politik. Selain itu, konten tertentu dalam email menunjukkan bahwa anggota partai politik tertentu menjadi sasaran.

MirrorFace juga menggunakan email spearphishing lain dalam kampanye, di mana lampiran diberi judul 【参考】 220628発・選挙管理委員会宛文書（添書分）exe (terjemahan dari Google Terjemahan: [Referensi] 220628 Dokumen dari Kementerian kepada panitia penyelenggara pemilu (lampiran).exe). Dokumen umpan terlampir (ditunjukkan pada Gambar 3) juga merujuk pada pemilihan Dewan Anggota Dewan.

Gambar 3. Dokumen umpan yang ditunjukkan ke target

Dalam kedua kasus tersebut, email tersebut berisi lampiran berbahaya dalam bentuk arsip WinRAR yang mengekstraksi sendiri dengan nama yang menipu.exe (terjemahan dari Google Terjemahan: Permintaan untuk menyebarkan video untuk SNS.exe) dan 【参考】220628発・選挙管理委員会宛文書（添書分）exe (terjemahan dari Google Terjemahan: [Referensi] 220628 Dokumen dari Kementerian kepada panitia penyelenggara pemilu (lampiran).exe) masing.

EXE ini mengekstrak konten yang diarsipkan ke dalam % TEMP% map. Secara khusus, empat file diekstraksi:

• K7SysMon.exe, aplikasi jinak yang dikembangkan oleh K7 Computing Pvt Ltd yang rentan terhadap pembajakan pesanan pencarian DLL
• K7SysMn1.dll, pemuat berbahaya
• K7SysMon.Exe.db, malware LODEINFO terenkripsi
• Sebuah dokumen umpan

Kemudian, dokumen umpan dibuka untuk menipu target dan tampil jinak. Sebagai langkah terakhir, K7SysMon.exe dieksekusi yang memuat loader berbahaya K7SysMn1.dll jatuh di sampingnya. Terakhir, loader membaca konten dari K7SysMon.Exe.db, mendekripsinya, lalu mengeksekusinya. Perhatikan bahwa pendekatan ini juga diamati oleh Kaspersky dan dijelaskan dalam melaporkan.

Toolset

Di bagian ini, kami menjelaskan malware MirrorFace yang digunakan dalam Operasi LiberalFace.

INFO LODE

LODEINFO adalah backdoor MirrorFace yang terus dikembangkan. JPCERT melaporkan tentang versi pertama dari LODEINFO (v0.1.2), yang muncul sekitar Desember 2019; fungsinya memungkinkan menangkap tangkapan layar, keylogging, proses mematikan, mengekstraksi file, dan menjalankan file dan perintah tambahan. Sejak saat itu, kami telah mengamati beberapa perubahan yang diperkenalkan pada setiap versinya. Misalnya, versi 0.3.8 (yang pertama kali kami deteksi pada Juni 2020) menambahkan perintah ransom (yang mengenkripsi file dan folder yang ditentukan), dan versi 0.5.6 (yang kami deteksi pada Juli 2021) menambahkan perintah config, yang memungkinkan operator untuk mengubah konfigurasinya yang disimpan dalam registri. Selain laporan JPCERT yang disebutkan di atas, analisis terperinci dari backdoor LODEINFO juga diterbitkan awal tahun ini oleh Kaspersky.

Dalam Operasi LiberalFace, kami mengamati operator MirrorFace menggunakan LODEINFO reguler dan apa yang kami sebut malware LODEINFO tahap kedua. LODEINFO tahap kedua dapat dibedakan dari LODEINFO biasa dengan melihat fungsionalitas keseluruhan. Secara khusus, LODEINFO tahap kedua menerima dan menjalankan binari PE dan kode shell di luar perintah yang diterapkan. Selanjutnya, LODEINFO tahap kedua dapat memproses perintah C&C config, tetapi fungsionalitas untuk perintah tebusan hilang.

Akhirnya, data yang diterima dari server C&C berbeda antara LODEINFO reguler dan tahap kedua. Untuk LODEINFO tahap kedua, server C&C menambahkan konten halaman web acak ke data aktual. Lihat Gambar 4, Gambar 5, dan Gambar 6 yang menggambarkan perbedaan data yang diterima. Perhatikan potongan kode yang diawali berbeda untuk setiap aliran data yang diterima dari K&C tahap kedua.

Gambar 4. Data yang diterima dari K&C LODEINFO tahap pertama

Gambar 5. Data yang diterima dari K&C tahap kedua

Gambar 6. Aliran data lain yang diterima dari K&C tahap kedua

Pencuri Cermin

MirrorStealer, bernama internal 31558_n.dll oleh MirrorFace, adalah pencuri kredensial. Sepengetahuan kami, malware ini belum dijelaskan secara publik. Secara umum, MirrorStealer mencuri kredensial dari berbagai aplikasi seperti browser dan klien email. Menariknya, salah satu aplikasi yang diincar adalah Becky!, klien email yang saat ini hanya tersedia di Jepang. Semua kredensial yang dicuri disimpan di %TEMP%31558.txt dan karena MirrorStealer tidak memiliki kemampuan untuk mengekstraksi data yang dicuri, itu tergantung pada malware lain untuk melakukannya.

Kegiatan pasca-kompromi

Selama penelitian kami, kami dapat mengamati beberapa perintah yang dikeluarkan untuk komputer yang disusupi.

Pengamatan lingkungan awal

Setelah LODEINFO diluncurkan pada mesin yang dikompromikan dan mereka berhasil terhubung ke server C&C, operator mulai mengeluarkan perintah (lihat Gambar 7).

Gambar 7. Pengamatan lingkungan awal oleh operator MirrorFace melalui LODEINFO

Pertama, operator mengeluarkan salah satu perintah LODEINFO, mencetak, untuk menangkap layar mesin yang disusupi. Ini diikuti oleh perintah lain, ls, untuk melihat konten folder saat ini di mana LODEINFO berada (yaitu, % TEMP%). Tepat setelah itu, operator menggunakan LODEINFO untuk mendapatkan informasi jaringan dengan menjalankan tampilan bersih dan tampilan bersih/domain. Perintah pertama mengembalikan daftar komputer yang terhubung ke jaringan, sedangkan yang kedua mengembalikan daftar domain yang tersedia.

Pencurian kredensial dan cookie browser

Setelah mengumpulkan informasi dasar ini, operator beralih ke fase berikutnya (lihat Gambar 8).

Gambar 8. Alur instruksi yang dikirim ke LODEINFO untuk menyebarkan pencuri kredensial, mengumpulkan kredensial dan cookie browser, dan mengekstraknya ke server C&C

Operator mengeluarkan perintah LODEINFO kirim dengan subperintah -Penyimpanan mengantarkan Pencuri Cermin malware ke mesin yang disusupi. Subkomando -Penyimpanan digunakan untuk menunjukkan kepada LODEINFO untuk menyimpan MirrorStealer dalam memorinya, yang berarti biner MirrorStealer tidak pernah dijatuhkan pada disk. Selanjutnya, perintah ingatan dikeluarkan. Perintah ini menginstruksikan LODEINFO untuk mengambil MirrorStealer, menyuntikkannya ke dalam pemijahan cmd.exe memproses, dan menjalankannya.

Setelah MirrorStealer mengumpulkan kredensial dan menyimpannya %temp%31558.txt, operator menggunakan LODEINFO untuk mengekstrak kredensial.

Operator juga tertarik dengan cookie browser korban. Namun, MirrorStealer tidak memiliki kemampuan untuk mengumpulkannya. Oleh karena itu, operator mengekstrak cookie secara manual melalui LODEINFO. Pertama, operator menggunakan perintah LODEINFO dir untuk membuat daftar isi folder %LocalAppData%Data Pengguna Google Chrome dan %LocalAppData%Data Pengguna MicrosoftEdge. Kemudian, operator menyalin semua file cookie yang teridentifikasi ke dalam % TEMP% map. Selanjutnya, operator mengekstraksi semua file cookie yang dikumpulkan menggunakan perintah LODEINFO menerima. Terakhir, operator menghapus file cookie yang disalin dari % TEMP% folder dalam upaya untuk menghapus jejak.

Pencurian dokumen dan email

Pada langkah selanjutnya, operator mengeksfiltrasi dokumen dari berbagai jenis serta menyimpan email (lihat Gambar 9).

Gambar 9. Alur instruksi yang dikirim ke LODEINFO untuk mengekstrak file yang diinginkan

Untuk itu, operator terlebih dahulu menggunakan LODEINFO untuk mengirimkan pengarsipan WinRAR (rar.exe). Menggunakan rar.exe, operator mengumpulkan dan mengarsipkan file menarik yang diubah setelah 2022-01-01 dari folder %USERPROFILE% dan C:$Recycle.Bin. Operator tertarik pada semua file seperti itu dengan ekstensi .dokter*, .ppt*, .xls*, .jtd, .eml, .*xps, dan .pdf.

Perhatikan bahwa selain jenis dokumen umum, MirrorFace juga tertarik dengan file dengan .jtd perpanjangan. Ini merupakan dokumen dari pengolah kata Jepang Ichitaro dikembangkan oleh JustSystems.

Setelah arsip dibuat, operator mengirimkan klien Secure Copy Protocol (SCP) dari Putty lanjutan (pscp.exe) dan kemudian menggunakannya untuk mengekstraksi arsip RAR yang baru saja dibuat ke server di 45.32.13[.]180. Alamat IP ini belum diamati dalam aktivitas MirrorFace sebelumnya dan belum pernah digunakan sebagai server C&C di malware LODEINFO mana pun yang telah kami amati. Tepat setelah arsip diekstraksi, operator menghapusnya rar.exe, pscp.exe, dan arsip RAR untuk membersihkan jejak aktivitas.

Penerapan LODEINFO tahap kedua

Langkah terakhir yang kami amati adalah mengirimkan LODEINFO tahap kedua (lihat Gambar 10).

Gambar 10. Alur instruksi yang dikirim ke LODEINFO untuk menyebarkan LODEINFO tahap kedua

Operator mengirimkan binari berikut: JSESPR.dll, JsSchHlp.exe, dan vcruntime140.dll ke mesin yang dikompromikan. Asli JsSchHlp.exe adalah aplikasi jinak yang ditandatangani oleh JUSTSYSTEMS CORPORATION (pembuat pengolah kata Jepang yang disebutkan sebelumnya, Ichitaro). Namun, dalam kasus ini operator MirrorFace menyalahgunakan verifikasi tanda tangan digital Microsoft yang dikenal isu dan menambahkan data terenkripsi RC4 ke JsSchHlp.exe tanda tangan digital. Karena masalah tersebut, Windows masih mempertimbangkan yang dimodifikasi JsSchHlp.exe untuk ditandatangani secara sah.

JsSchHlp.exe juga rentan terhadap pemuatan samping DLL. Oleh karena itu, pada saat eksekusi, ditanam JSESPR.dll dimuat (lihat Gambar 11).

Gambar 11. Alur eksekusi LODEINFO tahap kedua

JSESPR.dll adalah pemuat berbahaya yang membaca muatan yang ditambahkan dari JsSchHlp.exe, mendekripsinya, dan menjalankannya. Payload adalah LODEINFO tahap kedua, dan setelah dijalankan, operator menggunakan LODEINFO biasa untuk menyetel persistensi tahap kedua. Secara khusus, operator menjalankan reg.exe utilitas untuk menambahkan nilai bernama JsSchHlp ke Run kunci registri memegang jalan ke JsSchHlp.exe.

Namun, tampaknya operator tidak berhasil membuat LODEINFO tahap kedua berkomunikasi dengan benar dengan server C&C. Oleh karena itu, langkah lebih lanjut dari operator yang menggunakan LODEINFO tahap kedua tetap tidak kami ketahui.

Pengamatan yang menarik

Selama penyelidikan, kami membuat beberapa pengamatan menarik. Salah satunya adalah operator membuat beberapa kesalahan dan kesalahan ketik saat mengeluarkan perintah ke LODEINFO. Misalnya, operator mengirim string cmd /c dir "c: gunakan" ke LODEINFO, yang kemungkinan besar seharusnya cmd /c dir "c:pengguna".

Ini menunjukkan bahwa operator mengeluarkan perintah ke LODEINFO secara manual atau semi-manual.

Pengamatan kami berikutnya adalah bahwa meskipun operator melakukan beberapa pembersihan untuk menghilangkan jejak penyusupan, operator lupa untuk menghapusnya %temp%31558.txt – log yang berisi kredensial yang dicuri. Jadi, setidaknya jejak ini tetap ada di mesin yang disusupi dan menunjukkan kepada kita bahwa operator tidak teliti dalam proses pembersihan.

Kesimpulan

MirrorFace terus membidik target bernilai tinggi di Jepang. Dalam Operasi LiberalFace, itu secara khusus menargetkan entitas politik menggunakan pemilihan Dewan Penasihat yang akan datang untuk keuntungannya. Lebih menarik lagi, temuan kami menunjukkan bahwa MirrorFace secara khusus berfokus pada anggota partai politik tertentu.

Selama investigasi Operasi LiberalFace, kami berhasil mengungkap TTP MirrorFace lebih lanjut, seperti penerapan dan penggunaan malware tambahan dan alat untuk mengumpulkan dan mengekstraksi data berharga dari korban. Selain itu, penyelidikan kami mengungkapkan bahwa operator MirrorFace agak ceroboh, meninggalkan jejak, dan melakukan berbagai kesalahan.

IoC

File

jaringan

Teknik ATT&CK MITER

Tabel ini dibuat menggunakan versi 12 dari kerangka MITRE ATT&CK.

Perhatikan bahwa meskipun postingan blog ini tidak memberikan ikhtisar lengkap tentang kemampuan LODEINFO karena informasi ini sudah tersedia di publikasi lain, tabel MITRE ATT&CK di bawah berisi semua teknik yang terkait dengannya.