חוקרי ESET גילו קמפיין דיוג מכוון לישויות פוליטיות יפניות כמה שבועות לפני הבחירות לבית חברי המועצה, ובתוך כך חשפו גונב אישורי MirrorFace שלא תואר בעבר
חוקרי ESET גילו קמפיין דיוג, שהושק בשבועות שקדמו ל בחירות לבית חברי המועצה היפני ביולי 2022, על ידי קבוצת APT ש-ESET Research עוקבת אחריה בתור MirrorFace. הקמפיין, שקראנו לו מבצע LiberalFace, כוון לישויות פוליטיות יפניות; החקירה שלנו העלתה שחברי מפלגה פוליטית ספציפית היו ממוקדים במיוחד בקמפיין הזה. ESET Research חשף פרטים על מסע פרסום זה ועל קבוצת APT שמאחוריו ב- כנס AVAR 2022 בתחילת החודש.
- בסוף יוני 2022, MirrorFace השיקה קמפיין, שקראנו לו מבצע LiberalFace, שכוון לישויות פוליטיות יפניות.
- הודעות דואר אלקטרוני מסוג Spearphishing המכילות את דלת הדגל האחורית של הקבוצה LODEINFO נשלחו ליעדים.
- LODEINFO שימש כדי לספק תוכנות זדוניות נוספות, לסנן את האישורים של הקורבן ולגנוב את המסמכים והמיילים של הקורבן.
- גנב אישורים שלא תואר קודם לכן שקראנו לו MirrorStealer שימש במבצע LiberalFace.
- ESET Research ביצע ניתוח של הפעילויות שלאחר הפשרה, מה שמצביע על כך שהפעולות שנצפו בוצעו באופן ידני או ידני למחצה.
- פרטים על מסע פרסום זה שותפו ב- כנס AVAR 2022.
MirrorFace הוא שחקן איומים דובר סינית המכוון לחברות וארגונים שבסיסם ביפן. אמנם יש ספקולציות ששחקן האיום הזה עשוי להיות קשור ל-APT10 (מקניקה, קספרסקי), ESET לא מסוגלת לייחס אותו לאף קבוצת APT ידועה. לכן, אנו עוקבים אחריה כישות נפרדת שקראנו לה MirrorFace. במיוחד, MirrorFace ו-LODEINFO, התוכנה הזדונית הקניינית שלה המשמשת אך ורק נגד מטרות ביפן, דיווח כמיקוד לתקשורת, חברות הקשורות לביטחון, צוותי חשיבה, ארגונים דיפלומטיים ומוסדות אקדמיים. המטרה של MirrorFace היא ריגול וסינון של קבצי עניין.
אנו מייחסים את מבצע LiberalFace ל-MirrorFace בהתבסס על האינדיקטורים הבאים:
- למיטב ידיעתנו, תוכנת זדונית LODEINFO נמצאת בשימוש בלעדי על ידי MirrorFace.
- היעדים של מבצע LiberalFace עולים בקנה אחד עם המיקוד המסורתי של MirrorFace.
- דגימת תוכנה זדונית בשלב שני של LODEINFO יצרה קשר עם שרת C&C שאנו עוקבים אחריו באופן פנימי כחלק מתשתית MirrorFace.
אחד מהודעות הדואר האלקטרוני שנשלחו במבצע LiberalFace הוצג כהודעה רשמית ממחלקת יחסי הציבור של מפלגה פוליטית יפנית ספציפית, המכילה בקשה הקשורה לבחירות לבית חברי המועצה, ונשלחה לכאורה בשמו של פוליטיקאי בולט. כל הודעות הדואר האלקטרוני המתוכנן הכילו קובץ מצורף זדוני שעם ביצוע הפריסה של LODEINFO במחשב שנפרץ.
בנוסף, גילינו ש-MirrorFace השתמשה בתוכנה זדונית שלא תועדה בעבר, שקראנו לה MirrorStealer, כדי לגנוב את האישורים של המטרה שלה. אנו מאמינים שזו הפעם הראשונה שתוכנה זדונית זו מתוארת בפומבי.
בפוסט זה בבלוג, אנו מכסים את הפעילויות שנצפו לאחר הפשרה, כולל פקודות C&C שנשלחו ל-LODEINFO כדי לבצע את הפעולות. בהתבסס על פעילויות מסוימות שבוצעו במכונה המושפעת, אנו חושבים שמפעיל MirrorFace הוציא פקודות ל-LODEINFO באופן ידני או ידני למחצה.
גישה ראשונית
MirrorFace החלה את המתקפה ב-29 ביוניth, 2022, הפצת הודעות דואר אלקטרוני עם קובץ מצורף זדוני למטרות. נושא המייל היה SNS用動画 拡散のお願い (תרגום מ-Google Translate: [חשוב] בקשה להפצת סרטונים עבור SNS). איור 1 ואיור 2 מציגים את תוכנו.
איור 2. גרסה מתורגמת
המיועדת להיות מחלקת יחסי ציבור של מפלגה פוליטית יפנית, MirrorFace ביקשה מהנמענים להפיץ את הסרטונים המצורפים בפרופילי המדיה החברתית שלהם (SNS – Social Network Service) כדי לחזק עוד יותר את יחסי הציבור של המפלגה ולהבטיח את הניצחון בבית חברי המועצה. יתר על כן, האימייל מספק הנחיות ברורות לגבי אסטרטגיית הפרסום של הסרטונים.
מאז הבחירות לבית חברי המועצה נערכו ב-10 ביוליth, 2022, דוא"ל זה מציין בבירור ש-MirrorFace חיפשה את ההזדמנות לתקוף ישויות פוליטיות. כמו כן, תוכן ספציפי במייל מצביע על כך שחברי מפלגה פוליטית מסוימת היו ממוקדים.
MirrorFace השתמשה גם בדוא"ל חיתוך נוסף בקמפיין, שם הקובץ המצורף נקרא 【参考】220628発・選挙管理委員会宛文書(添書分).exe (תרגום מגוגל תרגום: [הפניה] 220628 מסמכים ממשרד ועדת ניהול הבחירות (נספח).exe). מסמך ההטעיה המצורף (מוצג באיור 3) מתייחס גם לבחירות לבית חברי המועצה.
איור 3. מסמך פיתוי המוצג למטרה
בשני המקרים, האימיילים הכילו קבצים מצורפים זדוניים בצורה של ארכיוני WinRAR החולצים מעצמם עם שמות מטעים SNS用動画 拡散のお願い.exe (תרגום מגוגל תרגום: בקשה להפצת סרטונים עבור SNS.exe) ו-【参考】220628発・選挙管理委員会宛文書(添書分).exe (תרגום מגוגל תרגום: [הפניה] 220628 מסמכים ממשרד ועדת ניהול הבחירות (נספח).exe) בהתאמה.
EXEs אלה מחלצים את התוכן הארכיון שלהם לתוך TEMP%% תיקייה. במיוחד, ארבעה קבצים מחולצים:
- K7SysMon.exe, אפליקציה שפיר שפותחה על ידי K7 Computing Pvt Ltd פגיע לחטיפת סדר חיפוש DLL
- K7SysMn1.dll, טוען זדוני
- K7SysMon.Exe.db, תוכנות זדוניות מוצפנות של LODEINFO
- מסמך מטעה
לאחר מכן, מסמך ההטעיה נפתח כדי לרמות את המטרה ולהיראות שפיר. כשלב אחרון, K7SysMon.exe מופעל אשר טוען את הטוען הזדוני K7SysMn1.dll ירד לצדו. לבסוף, המטען קורא את התוכן של K7SysMon.Exe.db, מפענח אותו ואז מבצע אותו. שימו לב שגישה זו נצפתה גם על ידי קספרסקי ומתוארת בכתביהם לדווח.
ערכת כלים
בסעיף זה, אנו מתארים את התוכנה הזדונית MirrorFace המשמשת במבצע LiberalFace.
LODEINFO
LODEINFO היא דלת אחורית של MirrorFace שנמצאת בפיתוח מתמיד. JPCERT דיווח על הגרסה הראשונה של LODEINFO (v0.1.2), שהופיע בסביבות דצמבר 2019; הפונקציונליות שלו מאפשרת לכידת צילומי מסך, רישום מקשים, הרג תהליכים, סינון קבצים וביצוע קבצים ופקודות נוספים. מאז, ראינו כמה שינויים שהוכנסו לכל אחת מהגרסאות שלה. לדוגמה, גרסה 0.3.8 (שזיהינו לראשונה ביוני 2020) הוסיפה את הפקודה כופר (המצפינה קבצים ותיקיות מוגדרים), וגרסה 0.5.6 (שזיהינו ביולי 2021) הוסיפה את הפקודה config, המאפשר למפעילים לשנות את התצורה שלו המאוחסנת ברישום. מלבד הדיווח של JPCERT שהוזכר לעיל, ניתוח מפורט של הדלת האחורית של LODEINFO פורסם גם מוקדם יותר השנה על ידי קספרסקי.
במבצע LiberalFace, צפינו במפעילי MirrorFace המשתמשים גם ב-LODEINFO הרגיל וגם במה שאנו מכנים את התוכנה הזדונית של השלב השני של LODEINFO. ניתן להבחין בין השלב השני של LODEINFO לבין ה-LODEINFO הרגיל על ידי הסתכלות על הפונקציונליות הכוללת. בפרט, השלב השני LODEINFO מקבל ומריץ בינאריים PE וקוד מעטפת מחוץ לפקודות המיושמות. יתר על כן, השלב השני של LODEINFO יכול לעבד את פקודת C&C config, אבל הפונקציונליות של הפקודה כופר חסר.
לבסוף, הנתונים שהתקבלו משרת C&C שונים בין ה-LODEINFO הרגיל לשלב השני. עבור השלב השני של LODEINFO, שרת ה-C&C מקדים תוכן דף אינטרנט אקראי לנתונים בפועל. ראה איור 4, איור 5 ואיור 6 המתאר את ההבדל בנתונים שהתקבלו. שימו לב שקטע הקוד המוקדם שונה עבור כל זרם נתונים שהתקבל מהשלב השני C&C.
איור 4. נתונים שהתקבלו מהשלב הראשון של LODEINFO C&C
איור 5. נתונים שהתקבלו מהשלב השני C&C
איור 6. זרם נתונים נוסף שהתקבל מהשלב השני C&C
MirrorStealer
MirrorStealer, בשם פנימי 31558_n.dll מאת MirrorFace, הוא גנב אישורים. למיטב ידיעתנו, תוכנה זדונית זו לא תוארה בפומבי. באופן כללי, MirrorStealer גונב אישורים מיישומים שונים כגון דפדפנים ולקוחות דוא"ל. מעניין שאחד היישומים הממוקדים הוא בקי!, לקוח דוא"ל שזמין כרגע רק ביפן. כל האישורים הגנובים מאוחסנים ב %TEMP%31558.txt ומכיוון של-MirrorStealer אין את היכולת לסנן את הנתונים הגנובים, זה תלוי בתוכנות זדוניות אחרות לעשות זאת.
פעילות לאחר פשרה
במהלך המחקר שלנו, הצלחנו לצפות בחלק מהפקודות שהונפקו למחשבים שנפגעו.
תצפית סביבה ראשונית
לאחר שהושק LODEINFO במחשבים שנפגעו והם התחברו בהצלחה לשרת C&C, מפעיל החל להנפיק פקודות (ראה איור 7).
איור 7. תצפית סביבה ראשונית על ידי מפעיל MirrorFace באמצעות LODEINFO
ראשית, המפעיל הוציא אחת מפקודות LODEINFO, הדפסה, כדי ללכוד את המסך של המכונה שנפרצה. אחרי זה הגיעה פקודה נוספת, ls, כדי לראות את התוכן של התיקיה הנוכחית שבה LODEINFO שוכן (כלומר, TEMP%%). מיד לאחר מכן, המפעיל השתמש ב-LODEINFO כדי להשיג מידע רשת על ידי הפעלה נוף נטו ו תצוגה נטו /דומיין. הפקודה הראשונה מחזירה את רשימת המחשבים המחוברים לרשת, ואילו השנייה מחזירה את רשימת הדומיינים הזמינים.
גניבת אישורים וקובצי Cookie בדפדפן
לאחר שאסף מידע בסיסי זה, המפעיל עבר לשלב הבא (ראה איור 8).
איור 8. זרימת הוראות שנשלחה אל LODEINFO לפריסת גניבת אישורים, איסוף אישורים וקובצי Cookie של דפדפן, והעברתם לשרת C&C
המפעיל הוציא את פקודת LODEINFO send עם פקודת המשנה -זיכרון להעביר, לספק MirrorStealer תוכנה זדונית למחשב שנפגע. תת-פקודה -זיכרון שימש כדי לציין ל-LODEINFO לשמור את MirrorStealer בזיכרון שלו, כלומר הבינארי של MirrorStealer מעולם לא ירד לדיסק. לאחר מכן, הפקודה זיכרון הונפק. פקודה זו הורתה ל-LODEINFO לקחת את MirrorStealer, להחדיר אותו לתוך ה-Spawned cmd.exe לעבד ולהפעיל אותו.
ברגע ש-MirrorStealer אסף את האישורים ואחסן אותם %temp%31558.txt, המפעיל השתמש ב-LODEINFO כדי לסנן את האישורים.
המפעיל התעניין גם בעוגיות הדפדפן של הקורבן. עם זאת, ל- MirrorStealer אין את היכולת לאסוף אותם. לכן, המפעיל הוציא את העוגיות באופן ידני דרך LODEINFO. ראשית, המפעיל השתמש בפקודה LODEINFO dir לרשימת תוכן התיקיות %LocalAppData%GoogleChromeUser נתוני ו %LocalAppData%MicrosoftEdgeUser נתוני. לאחר מכן, המפעיל העתיק את כל קבצי העוגיות שזוהו ל- TEMP%% תיקייה. לאחר מכן, המפעיל הוציא את כל קבצי העוגיות שנאספו באמצעות הפקודה LODEINFO rec. לבסוף, המפעיל מחק את קבצי העוגיות שהועתקו מה- TEMP%% תיקייה בניסיון להסיר את העקבות.
גניבת מסמכים ואימיילים
בשלב הבא, המפעיל חילץ מסמכים מסוגים שונים וכן מיילים מאוחסנים (ראה איור 9).
איור 9. זרימת ההוראות שנשלחו ל-LODEINFO כדי לסנן קבצים בעלי עניין
לשם כך, המפעיל השתמש לראשונה ב-LODEINFO כדי לספק את הארכיון של WinRAR (rar.exe). שימוש rar.exe, המפעיל אסף וארכיון קבצי עניין ששונו לאחר 2022-01-01 מהתיקיות %USERPROFILE% ו-C:$Recycle.Bin. המפעיל התעניין בכל הקבצים האלה עם הסיומות.דוק*, .ppt*, .xls*, .jtd, .eml, .*xps, ו . PDF.
שימו לב שמלבד סוגי המסמכים הנפוצים, MirrorFace התעניינה גם בקבצים עם ה .jtd סיומת. זה מייצג מסמכים של מעבד התמלילים היפני איצ'יטארו פותח על ידי JustSystems.
לאחר יצירת הארכיון, המפעיל העביר את הלקוח Secure Copy Protocol (SCP) מה- מרק סוויטה (pscp.exe) ולאחר מכן השתמש בו כדי לסנן את ארכיון ה-RAR שנוצר זה עתה לשרת בכתובת 45.32.13[.]180. כתובת IP זו לא נצפתה בפעילות קודמת של MirrorFace ולא שימשה כשרת C&C בשום תוכנה זדונית של LODEINFO שצפינו. מיד לאחר חילוץ הארכיון, המפעיל מחק rar.exe, pscp.exe, וארכיון RAR כדי לנקות את עקבות הפעילות.
פריסת LODEINFO שלב שני
השלב האחרון שצפינו בו היה אספקת השלב השני LODEINFO (ראה איור 10).
איור 10. זרימת הוראות שנשלחה אל LODEINFO לפריסת LODEINFO שלב שני
המפעיל סיפק את הקבצים הבינאריים הבאים: JSESPR.dll, JsSchHlp.exe, ו vcruntime140.dll למכונה שנפגעה. המקורי JsSchHlp.exe הוא יישום שפיר חתום על ידי JUSTSYSTEMS CORPORATION (יצרני מעבד התמלילים היפני שהוזכר קודם לכן, Ichitaro). עם זאת, במקרה זה, מפעילת MirrorFace ניצלה לרעה אימות חתימה דיגיטלית ידועה של Microsoft סוגיה וצירף נתונים מוצפנים RC4 ל- JsSchHlp.exe חתימה דיגיטלית. בגלל הבעיה שהוזכרה, Windows עדיין מחשיב את השינוי JsSchHlp.exe להיות חתום בתוקף.
JsSchHlp.exe רגיש גם לטעינת צד של DLL. לכן, עם הביצוע, הנטוע JSESPR.dll נטען (ראה איור 11).
איור 11. זרימת ביצוע של LODEINFO שלב שני
JSESPR.dll הוא טוען זדוני שקורא ממנו את המטען המצורף JsSchHlp.exe, מפענח אותו ומפעיל אותו. המטען הוא ה-LODEINFO השלב השני, וברגע הפעלתו, המפעיל השתמש ב-LODEINFO הרגיל כדי להגדיר את ההתמדה לשלב השני. בפרט, המפעיל ניהל את reg.exe כלי להוספת ערך בשם JsSchHlp אל ה הפעלה מפתח רישום המחזיק את הנתיב אל JsSchHlp.exe.
עם זאת, נראה לנו שהמפעיל לא הצליח לגרום לשלב השני של LODEINFO לתקשר כראוי עם שרת C&C. לכן, כל צעד נוסף של המפעיל המשתמש ב-LODEINFO השלב השני נשאר לא ידוע לנו.
תצפיות מעניינות
במהלך החקירה, ערכנו כמה תצפיות מעניינות. אחד מהם הוא שהמפעיל ביצע כמה שגיאות ושגיאות הקלדה בעת הנפקת פקודות ל-LODEINFO. לדוגמה, המפעיל שלח את המחרוזת cmd /c dir "c:use" ל-LODEINFO, שככל הנראה היה אמור להיות cmd /c dir "c:users".
זה מציע שהמפעיל מוציא פקודות ל-LODEINFO באופן ידני או ידני למחצה.
התצפית הבאה שלנו היא שלמרות שהמפעיל ביצע כמה ניקויים כדי להסיר עקבות של הפשרה, המפעיל שכח למחוק %temp%31558.txt - היומן המכיל את האישורים הגנובים. כך, לפחות עקבות זה נשאר על המכונה שנפרצה וזה מראה לנו שהמפעיל לא היה יסודי בתהליך הניקוי.
סיכום
MirrorFace ממשיכה לשאוף ליעדים בעלי ערך גבוה ביפן. במבצע LiberalFace, הוא כוון במיוחד לישויות פוליטיות תוך שימוש בבחירות הקרובות לבית חברי המועצה לטובתה. מעניין יותר, הממצאים שלנו מצביעים על כך ש-MirrorFace התמקדה במיוחד בחברי מפלגה פוליטית ספציפית.
במהלך חקירת מבצע LiberalFace, הצלחנו לחשוף TTPs נוספים של MirrorFace, כגון פריסה וניצול של תוכנות זדוניות וכלים נוספים כדי לאסוף ולהוציא נתונים יקרי ערך מקורבנות. יתרה מכך, החקירה שלנו העלתה כי מפעילי MirrorFace קצת רשלניים, משאירים עקבות ועושים טעויות שונות.
ESET Research מציעה גם דוחות מודיעין פרטיים של APT והזנות נתונים. לכל שאלה לגבי שירות זה, בקר באתר ESET Threat Intelligence עמוד.
IoCs
קבצים
| SHA-1 | שם הקובץ | שם זיהוי ESET | תיאור |
|---|---|---|---|
| F4691FF3B3ACD15653684F372285CAC36C8D0AEF | K7SysMn1.dll | Win32/Agent.ACLP | מטעין LODEINFO. |
| DB81C8719DDAAE40C8D9B9CA103BBE77BE4FCE6C | K7SysMon.Exe.db | N / A | LODEINFO מוצפן. |
| A8D2BE15085061B753FDEBBDB08D301A034CE1D5 | JsSchHlp.exe | Win32/Agent.ACLP | JsSchHlp.exe עם LODEINFO מוצפן שלב שני ב- ספריית אבטחה. |
| 0AB7BB3FF583E50FBF28B288E71D3BB57F9D1395 | JSESPR.dll | Win32/Agent.ACLP | מטעין LODEINFO שלב שני. |
| E888A552B00D810B5521002304D4F11BC249D8ED | 31558_n.dll | Win32/Agent.ACLP | גנב אישורים MirrorStealer. |
רשת
| IP | ספק | נראה לראשונה | פרטים |
|---|---|---|---|
| 5.8.95[.]174 | G-Core Labs SA | 2022-06-13 | שרת LODEINFO C&C. |
| 45.32.13[.]180 | AS-CHOOPA | 2022-06-29 | שרת לחילוץ נתונים. |
| 103.175.16[.]39 | Gigabit Hosting Sdn Bhd | 2022-06-13 | שרת LODEINFO C&C. |
| 167.179.116[.]56 | AS-CHOOPA | 2021-10-20 | www.ninesmn[.]com, שרת LODEINFO C&C שלב שני. |
| 172.105.217[.]233 | Linode, LLC | 2021-11-14 | www.aesorunwe[.]com, שרת LODEINFO C&C שלב שני. |
טכניקות MITER ATT & CK
שולחן זה נבנה באמצעות גרסה 12 של מסגרת MITER ATT & CK.
שימו לב שלמרות שפוסט זה בבלוג אינו מספק סקירה מלאה של יכולות LODEINFO מכיוון שמידע זה כבר זמין בפרסומים אחרים, הטבלה של MITER ATT&CK להלן מכילה את כל הטכניקות הקשורות אליו.
| טקטיקה | ID | שם | תיאור |
|---|---|---|---|
| גישה ראשונית | T1566.001 | פישינג: קובץ מצורף של Spearphishing | ארכיון WinRAR SFX זדוני מצורף להודעת דוא"ל מסוג Spearphishing. |
| הוצאה לפועל | T1106 | ממשק API מקומי | LODEINFO יכול להפעיל קבצים באמצעות ה CreateProcessA ה-API. |
| T1204.002 | ביצוע משתמש: קובץ זדוני | מפעילי MirrorFace מסתמכים על קורבן שיפתח קובץ מצורף זדוני שנשלח בדוא"ל. | |
| T1559.001 | תקשורת בין תהליכים: מודל אובייקט רכיב | LODEINFO יכול לבצע פקודות באמצעות Component Object Model. | |
| התמדה | T1547.001 | הפעלה אוטומטית של אתחול או כניסה: מפתחות הפעלה של הרישום / תיקיית אתחול | LODEINFO מוסיף ערך ל- HKCU Run מפתח כדי להבטיח התמדה.
צפינו במפעילי MirrorFace שהוסיפו באופן ידני ערך ל- HKCU Run מפתח כדי להבטיח התמדה עבור השלב השני של LODEINFO. |
| התחמקות הגנה | T1112 | שנה את הרישום | LODEINFO יכול לאחסן את התצורה שלו ברישום. |
| T1055 | הזרקת תהליך | LODEINFO יכול להחדיר קוד מעטפת לתוך cmd.exe. | |
| T1140 | בטל/פענח קבצים או מידע | מטעין LODEINFO מפענח מטען באמצעות XOR או RC4 של בייט בודד. | |
| T1574.002 | זרימת ביצוע חטיפה: טעינת DLL בצד | MirrorFace טוענת צד של LODEINFO על ידי הפלת ספרייה זדונית וקובץ הפעלה לגיטימי (למשל, K7SysMon.exe). | |
| גילוי פערים | T1082 | גילוי מידע מערכת | LODEINFO מטביע טביעות אצבע של המכונה שנפגעה. |
| T1083 | גילוי קבצים וספריות | LODEINFO יכול להשיג רישומי קבצים וספריות. | |
| T1057 | תהליך גילוי | LODEINFO יכול לרשום תהליכים פועלים. | |
| T1033 | גילוי בעל מערכת/משתמש | LODEINFO יכול להשיג את שם המשתמש של הקורבן. | |
| T1614.001 | גילוי מיקום מערכת: גילוי שפת מערכת | LODEINFO בודק את שפת המערכת כדי לוודא שהיא אינה פועלת במכונה שמוגדרת לשימוש בשפה האנגלית. | |
| אוספים | T1560.001 | ארכיון נתונים שנאספו: ארכיון באמצעות Utility | צפינו במפעילי MirrorFace מאחסנים נתונים שנאספו בארכיון באמצעות ארכיון RAR. |
| T1114.001 | איסוף דוא"ל: איסוף דוא"ל מקומי | צפינו במפעילי MirrorFace אוספים הודעות אימייל מאוחסנות. | |
| T1056.001 | לכידת קלט: רישום מקשים | LODEINFO מבצע רישום מקשים. | |
| T1113 | לכידת מסך | LODEINFO יכול להשיג צילום מסך. | |
| T1005 | נתונים מהמערכת המקומית | צפינו במפעילי MirrorFace אוספים ומחלצים נתונים מעניינים. | |
| פיקוד ובקרה | T1071.001 | פרוטוקול שכבת האפליקציות: פרוטוקולי אינטרנט | LODEINFO משתמש בפרוטוקול HTTP כדי לתקשר עם שרת C&C שלה. |
| T1132.001 | קידוד נתונים: קידוד רגיל | LODEINFO משתמש ב-URL-safe base64 כדי לקודד את תעבורת C&C שלו. | |
| T1573.001 | ערוץ מוצפן: קריפטוגרפיה סימטרית | LODEINFO משתמש ב-AES-256-CBC כדי להצפין תעבורת C&C. | |
| T1001.001 | ערפול נתונים: נתונים זבל | שלב שני LODEINFO C&C מצמיד זבל לנתונים שנשלחו. | |
| exfiltration | T1041 | סינון מעל ערוץ C2 | LODEINFO יכול לסנן קבצים לשרת C&C. |
| T1071.002 | פרוטוקול שכבת יישומים: פרוטוקולי העברת קבצים | צפינו ב- MirrorFace באמצעות Secure Copy Protocol (SCP) כדי לסנן נתונים שנאספו. | |
| פְּגִיעָה | T1486 | נתונים מוצפנים להשפעה | LODEINFO יכול להצפין קבצים במחשב של הקורבן. |
