ESET の研究者は、参議院選挙の数週間前に日本の政治団体を標的としたスピアフィッシング キャンペーンを発見し、その過程で、これまでに報告されていなかった MirrorFace クレデンシャル スティーラーを発見しました。
ESET の研究者は、攻撃に至るまでの数週間に開始されたスピアフィッシング キャンペーンを発見しました。 日本の参議院選挙 2022 年 XNUMX 月、ESET Research が MirrorFace として追跡している APT グループによって。 私たちが Operation LiberalFace と名付けたキャンペーンは、日本の政治団体を標的としていました。 私たちの調査では、特定の政党のメンバーがこのキャンペーンで特に注目されていたことが明らかになりました。 ESET Research は、このキャンペーンとその背後にいる APT グループに関する詳細を明らかにしました。 AVAR 2022 カンファレンス 今月の初めに。
- 2022 年 XNUMX 月末、MirrorFace は日本の政治団体を標的とするキャンペーンを開始しました。
- グループの主力バックドア LODEINFO を含むスピアフィッシング メール メッセージがターゲットに送信されました。
- LODEINFO は、追加のマルウェアを配信し、被害者の資格情報を盗み出し、被害者の文書や電子メールを盗むために使用されました。
- 私たちがMirrorStealerと命名した、これまでに報告されていないクレデンシャル スティーラーがOperation LiberalFaceで使用されました。
- ESET Research は侵害後の活動を分析しました。これは、観察されたアクションが手動または半手動で実行されたことを示唆しています。
- このキャンペーンの詳細は、 AVAR 2022 カンファレンス.
MirrorFace は、日本に拠点を置く企業や組織を標的とする中国語を話す脅威アクターです。 この脅威アクターが APT10 に関連している可能性があるという憶測もありますが (マクニカ, カスペルスキー)、ESET はそれを既知の APT グループに関連付けることができません。 そのため、MirrorFace と名付けた別のエンティティとして追跡しています。 特に、MirrorFace と LODEINFO は、日本の標的に対してのみ使用される独自のマルウェアです。 報告 メディア、防衛関連企業、シンクタンク、外交機関、学術機関を標的とするものとして。 MirrorFace の目的は、スパイ活動と対象ファイルの流出です。
以下の指標に基づいて、Operation LiberalFace を MirrorFace に帰属させます。
- 私たちの知る限りでは、LODEINFO マルウェアは MirrorFace だけが使用しています。
- Operation LiberalFace のターゲットは、従来の MirrorFace ターゲティングと一致します。
- 第 XNUMX 段階の LODEINFO マルウェア サンプルは、MirrorFace インフラストラクチャの一部として内部的に追跡している C&C サーバーに接続しました。
Operation LiberalFace で送信されたスピアフィッシング メールの XNUMX つは、特定の日本の政党の広報部門からの公式通信を装い、参議院選挙に関連する要求を含み、著名な政治家に代わって送信されたとされています。 すべてのスピアフィッシング電子メールには、実行時に侵害されたマシンに LODEINFO を展開する悪意のある添付ファイルが含まれていました。
さらに、MirrorFace が、MirrorStealer と名付けた以前は文書化されていなかったマルウェアを使用して、標的の資格情報を盗んだことを発見しました。 このマルウェアが公開されたのはこれが初めてだと思います。
このブログ投稿では、アクションを実行するために LODEINFO に送信された C&C コマンドなど、観察された侵害後のアクティビティについて説明します。 影響を受けたマシンで実行された特定のアクティビティに基づいて、MirrorFace オペレーターが手動または半手動の方法で LODEINFO にコマンドを発行したと考えられます。
初期アクセス
MirrorFace が 29 月 XNUMX 日に攻撃を開始th, 2022年、悪意のある添付ファイルを含むスピアフィッシングメールをターゲットに配布。メールの件名は SNS用動画拡散のお願い (Google 翻訳からの翻訳: 【重要】SNS用動画拡散のお願い). その内容を図 1 と図 2 に示します。
図 2. 翻訳版
日本の政党の広報部門を装った MirrorFace は、添付のビデオを受信者に自身のソーシャル メディア プロフィール (SNS – ソーシャル ネットワーク サービス) で配信して、党の広報をさらに強化し、参議院での勝利を確保するよう依頼しました。 さらに、メールには動画の公開戦略に関する明確な指示が記載されています。
10月XNUMX日に参議院選挙が行われたので、th、2022 年、この電子メールは、MirrorFace が政治団体を攻撃する機会を狙っていたことを明確に示しています。 また、電子メールの特定のコンテンツは、特定の政党のメンバーが標的にされたことを示しています。
MirrorFace は、添付ファイルのタイトルが付けられた別のスピアフィッシング メールもキャンペーンで使用しました。 【参考】220628発・選挙管理委員会宛て文書(添書分).exeファイル (Google 翻訳からの翻訳: 【参考】220628 省から選挙管理委員会への文書(別紙).exe). 添付のおとり文書 (図 3 を参照) も参議院選挙に言及しています。
図 3. ターゲットに表示されるおとり文書
どちらの場合も、電子メールには、偽の名前が付いた自己解凍形式の WinRAR アーカイブの形式で悪意のある添付ファイルが含まれていました。.exeファイル (Google 翻訳からの翻訳: SNS.exeの動画拡散希望) と【参考】220628発・選挙管理委員会宛て文書(添書分).exeファイル (Google 翻訳からの翻訳: 【参考】220628 省から選挙管理委員会への文書(別紙).exe) 。
これらの EXE は、アーカイブされたコンテンツを %TEMP% フォルダ。 具体的には、次の XNUMX つのファイルが抽出されます。
- K7SysMon.exeは、K7 Computing Pvt Ltd によって開発された無害なアプリケーションであり、DLL 検索順序ハイジャックに対して脆弱です。
- K7SysMn1.dll、悪意のあるローダー
- K7SysMon.Exe.db、暗号化された LODEINFO マルウェア
- おとり文書
次に、おとり文書が開かれ、ターゲットを欺いて無害に見せかけます。 最後のステップとして、 K7SysMon.exe 実行され、悪意のあるローダーが読み込まれます K7SysMn1.dll 横に落ちた。 最後に、ローダーはコンテンツを読み取ります K7SysMon.Exe.db、復号化してから実行します。 このアプローチは Kaspersky によっても観察され、彼らの レポート.
ツールセット
このセクションでは、Operation LiberalFace で使用されたマルウェア MirrorFace について説明します。
ロデインフォ
LODEINFO は、継続的に開発中の MirrorFace バックドアです。 JPCERT 最初のバージョンについて報告 0.1.2 年 2019 月頃に登場した LODEINFO (v0.3.8)。 その機能により、スクリーンショットのキャプチャ、キーロギング、プロセスの強制終了、ファイルの抽出、および追加のファイルとコマンドの実行が可能になります。 それ以来、各バージョンに導入されたいくつかの変更を確認しました。 たとえば、バージョン 2020 (0.5.6 年 2021 月に最初に検出された) はコマンド ransom (定義されたファイルとフォルダーを暗号化する) を追加し、バージョン XNUMX (XNUMX 年 XNUMX 月に検出) はコマンドを追加しました。 設定、これにより、オペレーターはレジストリに保存されている構成を変更できます。 上記の JPCERT のレポートに加えて、LODEINFO バックドアの詳細な分析も、今年初めにによって公開されました。 カスペルスキー.
Operation LiberalFace では、MirrorFace オペレーターが通常の LODEINFO と、私たちが第 XNUMX 段階の LODEINFO マルウェアと呼んでいるものの両方を利用していることを確認しました。 第 XNUMX 段階の LODEINFO は、全体的な機能を見ることで通常の LODEINFO と区別できます。 特に、第 XNUMX 段階の LODEINFO は、実装されたコマンドの外部で PE バイナリとシェルコードを受け入れて実行します。 さらに、第 XNUMX 段階の LODEINFO は C&C コマンドを処理できます。 設定、しかしコマンドの機能 身代金 欠落しています。
最後に、C&C サーバーから受信したデータは、通常の LODEINFO と第 4 段階のもので異なります。 第 5 段階の LODEINFO の場合、C&C サーバーはランダムな Web ページ コンテンツを実際のデータの先頭に追加します。 受信データの違いを示す図 6、図 XNUMX、および図 XNUMX を参照してください。 先頭に追加されたコード スニペットは、第 XNUMX 段階の C&C から受信したデータ ストリームごとに異なることに注意してください。
図 4. 第 XNUMX 段階の LODEINFO C&C から受信したデータ
図 5. 第 XNUMX 段階の C&C から受信したデータ
図 6. 第 XNUMX 段階の C&C から受信した別のデータ ストリーム
ミラースティーラー
内部的に名付けられた MirrorStealer 31558_n.dll MirrorFace による、クレデンシャル スティーラーです。 私たちの知る限り、このマルウェアは公に説明されていません。 一般に、MirrorStealer は、ブラウザーや電子メール クライアントなどのさまざまなアプリケーションから資格情報を盗みます。 興味深いことに、対象となるアプリケーションの XNUMX つが ベッキー!、現在日本でのみ利用可能なメール クライアントです。 盗まれた資格情報はすべて %TEMP%31558.txt また、MirrorStealer には盗んだデータを盗み出す機能がないため、他のマルウェアに依存しています。
侵害後の活動
調査中に、侵害されたコンピューターに対して発行されたコマンドの一部を観察することができました。
初期環境観察
侵害されたマシンで LODEINFO が起動され、C&C サーバーに正常に接続されると、オペレータはコマンドの発行を開始しました (図 7 を参照)。
図 7. LODEINFO を介した MirrorFace オペレーターによる初期環境観測
最初に、オペレーターは LODEINFO コマンドの XNUMX つを発行しました。 印刷、侵害されたマシンの画面をキャプチャします。 これに別のコマンドが続きました。 ls、LODEINFO が存在する現在のフォルダーの内容を表示します (つまり、 %TEMP%)。 その直後、オペレーターは LODEINFO を使用して、次のコマンドを実行してネットワーク情報を取得しました。 ネットビュー & ネット ビュー /ドメイン. 最初のコマンドはネットワークに接続されているコンピューターのリストを返し、XNUMX 番目のコマンドは利用可能なドメインのリストを返します。
資格情報とブラウザの Cookie の盗用
この基本的な情報を収集した後、オペレーターは次のフェーズに進みました (図 8 を参照)。
図 8. LODEINFO に送信される、クレデンシャル スティーラーの展開、クレデンシャルとブラウザの Cookie の収集、C&C サーバーへの流出命令の流れ
オペレーターが、サブコマンドを指定して LODEINFO コマンド send を発行しました。 -メモリ コンパクトで ミラースティーラー 侵害されたマシンへのマルウェア。 サブコマンド -メモリ MirrorStealer をメモリに保持するように LODEINFO に指示するために使用されました。これは、MirrorStealer バイナリがディスクにドロップされなかったことを意味します。 続いて、コマンド メモリ 発行されました。 このコマンドは、LODEINFO に MirrorStealer を取得し、スポーンされたオブジェクトに注入するように指示しました。 cmd.exeを 処理して実行します。
MirrorStealer がクレデンシャルを収集して、 %temp%31558.txt、オペレーターは LODEINFO を使用して資格情報を盗み出しました。
オペレーターは、被害者のブラウザの Cookie にも関心を持っていました。 ただし、MirrorStealer にはそれらを収集する機能はありません。 そのため、オペレータは LODEINFO を介して手動で Cookie を抽出しました。 最初に、オペレータは LODEINFO コマンドを使用しました DIR フォルダの内容を一覧表示する %LocalAppData%GoogleChromeUserデータ & %LocalAppData%MicrosoftEdgeUser データ. 次に、オペレーターは、識別されたすべての Cookie ファイルを %TEMP% フォルダ。 次に、オペレーターは LODEINFO コマンドを使用して、収集したすべての Cookie ファイルを抽出しました。 recv. 最後に、オペレーターは、コピーされた Cookie ファイルをサーバーから削除しました。 %TEMP% トレースを削除しようとしてフォルダー。
ドキュメントと電子メールの窃盗
次のステップでは、オペレーターはさまざまな種類のドキュメントと保存された電子メールを抽出しました (図 9 を参照)。
図 9. 関心のあるファイルを盗み出すために LODEINFO に送信される指示の流れ
そのために、オペレーターは最初に LODEINFO を利用して WinRAR アーカイバーを配信しました (rar.exe) を使う rar.exe、オペレーターは、2022 年 01 月 01 日以降に変更された対象ファイルをフォルダーから収集してアーカイブしました。 %USERPROFILE% および C:$Recycle.Bin. オペレーターは、拡張子が .ドキュメント*, .ppt*, .xls*, .jtd, .eml, .*xps, PDFファイル.
一般的なドキュメント タイプに加えて、MirrorFace は、 .jtd 拡大。 これは、日本語ワープロの文書を表しています。 一太郎 ジャストシステムズが開発。
アーカイブが作成されると、オペレーターはセキュア コピー プロトコル (SCP) クライアントをサーバーから配信します。 PUTTY 後 (pscp.exe) を使用して、作成したばかりの RAR アーカイブを次のサーバーに流出させました。 45.32.13[。]180. この IP アドレスは、以前の MirrorFace の活動では観察されておらず、私たちが観察したどの LODEINFO マルウェアでも C&C サーバーとして使用されていませんでした。 アーカイブが持ち出された直後、オペレータは削除しました rar.exe, pscp.exe、およびアクティビティの痕跡をクリーンアップするための RAR アーカイブ。
第 XNUMX 段階の LODEINFO の展開
私たちが観察した最後のステップは、第 10 段階の LODEINFO の配信でした (図 XNUMX を参照)。
図 10. 第 XNUMX 段階の LODEINFO を展開するために LODEINFO に送信される命令の流れ
オペレーターは次のバイナリを配信しました。 JSESPR.dll, JsSchHlp.exe, vcruntime140.dll 侵害されたマシンに。 オリジナル JsSchHlp.exe JUSTSYSTEMS CORPORATION (前述の日本語ワープロ、一太郎のメーカー) によって署名された無害なアプリケーションです。 ただし、この場合、MirrorFace オペレーターは既知の Microsoft デジタル署名検証を悪用しました。 問題 RC4 暗号化データを JsSchHlp.exe デジタル署名。 上記の問題により、Windows は変更された JsSchHlp.exe 有効に署名する必要があります。
JsSchHlp.exe また、DLL サイドローディングの影響を受けやすくなります。 したがって、実行時に、植えられた JSESPR.dll ロードされます (図 11 を参照)。
図 11. 第 XNUMX 段階の LODEINFO の実行フロー
JSESPR.dll から追加されたペイロードを読み取る悪意のあるローダーです。 JsSchHlp.exe、復号化して実行します。 ペイロードは第 XNUMX 段階の LODEINFO であり、一度実行すると、オペレーターは通常の LODEINFO を使用して第 XNUMX 段階の永続性を設定しました。 特に、オペレーターは reg.exe という名前の値を追加するユーティリティ JsSchHlp ラン へのパスを保持するレジストリ キー JsSchHlp.exe.
しかし、オペレーターは第 XNUMX 段階の LODEINFO を C&C サーバーと適切に通信させることができなかったようです。 したがって、第 XNUMX 段階の LODEINFO を使用するオペレーターのさらなる手順は不明のままです。
興味深い観察
調査中に、いくつかの興味深い観察結果が得られました。 そのうちの XNUMX つは、オペレーターが LODEINFO にコマンドを発行する際にいくつかのエラーやタイプミスを犯したことです。 たとえば、オペレーターは文字列を送信しました cmd /c dir “c:use” LODEINFO に、おそらくそうであるはずだった cmd /c dir「c:ユーザー」.
これは、オペレーターが手動または半手動で LODEINFO にコマンドを発行していることを示しています。
次の観察結果は、オペレーターが侵害の痕跡を取り除くためにいくつかのクリーンアップを実行したにもかかわらず、オペレーターが削除するのを忘れていたことです。 %temp%31558.txt – 盗まれた認証情報を含むログ。 したがって、少なくともこの痕跡は侵害されたマシンに残っており、オペレーターがクリーンアップ プロセスを徹底していなかったことを示しています。
まとめ
MirrorFace は引き続き、日本で価値の高いターゲットを狙っています。 Operation LiberalFace では、次の参議院選挙を有利に利用して、特に政治団体を標的にしました。 さらに興味深いことに、私たちの調査結果は、MirrorFace が特定の政党のメンバーに特に焦点を当てていることを示しています。
Operation LiberalFace の調査中に、被害者から貴重なデータを収集して盗み出すための追加のマルウェアやツールの展開と利用など、さらなる MirrorFace TTP を明らかにすることができました。 さらに、調査の結果、MirrorFace のオペレーターは多少不注意で、痕跡を残したり、さまざまなミスを犯したりしていることが明らかになりました。
ESET Research は、非公開の APT インテリジェンス レポートとデータ フィードも提供しています。 本サービスに関するお問い合わせは、 ESET脅威インテリジェンス ページで見やすくするために変数を解析したりすることができます。
IoC
| SHA-1 | ファイル名 | ESET検出名 | 説明 |
|---|---|---|---|
| F4691FF3B3ACD15653684F372285CAC36C8D0AEF | K7SysMn1.dll | Win32/エージェント.ACLP | LODEINFO ローダー。 |
| DB81C8719DDAAE40C8D9B9CA103BBE77BE4FCE6C | K7SysMon.Exe.db | 無し | 暗号化された LODEINFO。 |
| A8D2BE15085061B753FDEBBDB08D301A034CE1D5 | JsSchHlp.exe | Win32/エージェント.ACLP | JsSchHlp.exe 暗号化された第 XNUMX 段階の LODEINFO を セキュリティ ディレクトリ. |
| 0AB7BB3FF583E50FBF28B288E71D3BB57F9D1395 | JSESPR.dll | Win32/エージェント.ACLP | 第 XNUMX 段階の LODEINFO ローダー。 |
| E888A552B00D810B5521002304D4F11BC249D8ED | 31558_n.dll | Win32/エージェント.ACLP | MirrorStealer クレデンシャル スティーラー。 |
ネットワーク
| IP | プロバイダー | 最初に見た | 詳細 |
|---|---|---|---|
| 5.8.95[。]174 | G-Core Labs SA | 2022-06-13 | LODEINFO C&C サーバー。 |
| 45.32.13[。]180 | アズ・チューパ | 2022-06-29 | データ流出用のサーバー。 |
| 103.175.16[。]39 | ギガビット ホスティング Sdn Bhd | 2022-06-13 | LODEINFO C&C サーバー。 |
| 167.179.116[。]56 | アズ・チューパ | 2021-10-20 | www.ninesmn[.]com、第 XNUMX 段階の LODEINFO C&C サーバー。 |
| 172.105.217[。]233 | リノード、LLC | 2021-11-14 | www.aesorunwe[.]com、第 XNUMX 段階の LODEINFO C&C サーバー。 |
MITER ATT&CKテクニック
このテーブルは バージョン12 MITER ATT&CKフレームワークの.
LODEINFO 機能の完全な概要は、他の出版物で既に入手可能であるため、このブログ投稿では提供していませんが、以下の MITRE ATT&CK 表には、それに関連するすべての手法が含まれています。
| 戦術 | ID | 名前 | 説明 |
|---|---|---|---|
| 初期アクセス | T1566.001 | フィッシング:スピアフィッシングアタッチメント | 悪意のある WinRAR SFX アーカイブがスピアフィッシング メールに添付されています。 |
| 実行 | T1106 | ネイティブAPI | LODEINFO は、 プロセスAの作成 APIです。 |
| T1204.002 | ユーザーの実行:悪意のあるファイル | MirrorFace のオペレーターは、被害者が電子メールで送信された悪意のある添付ファイルを開くことに依存しています。 | |
| T1559.001 | プロセス間通信:コンポーネントオブジェクトモデル | LODEINFO は、コンポーネント オブジェクト モデルを介してコマンドを実行できます。 | |
| 固執 | T1547.001 | 起動またはログオン自動起動実行:レジストリ実行キー/スタートアップフォルダ | LODEINFO はエントリを HKCUラン 永続性を確保するための鍵。
MirrorFace オペレーターがエントリを手動で HKCUラン 第 XNUMX 段階の LODEINFO の永続性を確保するためのキー。 |
| 防衛回避 | T1112 | レジストリを変更する | LODEINFO は、その構成をレジストリに保存できます。 |
| T1055 | プロセス射出 | LODEINFO はシェルコードを挿入できます cmd.exeを. | |
| T1140 | ファイルまたは情報の難読化/デコード | LODEINFO ローダーは、4 バイトの XOR または RCXNUMX を使用してペイロードを復号化します。 | |
| T1574.002 | ハイジャック実行フロー:DLLサイドローディング | MirrorFace は、悪意のあるライブラリと正当な実行可能ファイル (例: K7SysMon.exe). | |
| Discovery | T1082 | システム情報の発見 | LODEINFO は、侵害されたマシンのフィンガープリントを作成します。 |
| T1083 | ファイルとディレクトリの検出 | LODEINFO は、ファイルとディレクトリの一覧を取得できます。 | |
| T1057 | プロセスディスカバリー | LODEINFO は、実行中のプロセスを一覧表示できます。 | |
| T1033 | システム所有者/ユーザーの発見 | LODEINFO は被害者のユーザー名を取得できます。 | |
| T1614.001 | システムの場所の検出: システム言語の検出 | LODEINFO は、システム言語をチェックして、英語を使用するように設定されたマシンで実行されていないことを確認します。 | |
| 収集 | T1560.001 | 収集されたデータのアーカイブ: ユーティリティによるアーカイブ | 私たちは、MirrorFace オペレーターが RAR アーカイバーを使用して収集したデータをアーカイブしているのを観察しました。 |
| T1114.001 | メールコレクション:ローカルメールコレクション | 私たちは MirrorFace オペレーターが保存された電子メール メッセージを収集しているのを観察しました。 | |
| T1056.001 | 入力キャプチャ:キーロガー | LODEINFO はキーロギングを実行します。 | |
| T1113 | スクリーンキャプチャ | LODEINFO はスクリーンショットを取得できます。 | |
| T1005 | ローカルシステムからのデータ | 私たちは、MirrorFace オペレーターが関心のあるデータを収集して盗み出しているのを観察しました。 | |
| コマンドおよび制御 | T1071.001 | アプリケーション層プロトコル:Webプロトコル | LODEINFO は、HTTP プロトコルを使用して C&C サーバーと通信します。 |
| T1132.001 | データエンコーディング:標準エンコーディング | LODEINFO は、URL セーフな base64 を使用して C&C トラフィックをエンコードします。 | |
| T1573.001 | 暗号化されたチャネル:対称暗号化 | LODEINFO は AES-256-CBC を使用して C&C トラフィックを暗号化します。 | |
| T1001.001 | データの難読化: ジャンク データ | 第 XNUMX 段階の LODEINFO C&C は、送信されたデータにジャンクを追加します。 | |
| exfiltration | T1041 | C2チャネルを介した浸透 | LODEINFO は、ファイルを C&C サーバーに流出させる可能性があります。 |
| T1071.002 | アプリケーション層プロトコル: ファイル転送プロトコル | 私たちは、MirrorFace がセキュア コピー プロトコル (SCP) を使用して収集したデータを盗み出すことを確認しました。 | |
| 影響 | T1486 | インパクトのあるデータ暗号化 | LODEINFO は、被害者のマシン上のファイルを暗号化できます。 |
