ESET 연구원들은 참의원 선거 몇 주 전에 일본 정치 단체를 대상으로 하는 스피어피싱 캠페인을 발견했으며 그 과정에서 이전에 설명되지 않은 MirrorFace 자격 증명 도용자를 발견했습니다.
ESET 연구원은 스피어피싱 캠페인을 발견했으며, 일본 참의원 선거 2022년 XNUMX월 ESET Research가 MirrorFace로 추적하는 APT 그룹에 의해. 우리가 LiberalFace 작전이라고 명명한 이 캠페인은 일본 정치 단체를 대상으로 했습니다. 우리의 조사에 따르면 특정 정당의 당원들이 이번 캠페인에서 특히 주목을 받았습니다. ESET Research는 이 캠페인과 그 뒤에 있는 APT 그룹에 대한 세부 정보를 공개했습니다. AVAR 2022 컨퍼런스 이번 달 초에.
- 2022년 XNUMX월 말, MirrorFace는 일본 정치 단체를 대상으로 하는 Operation LiberalFace라는 캠페인을 시작했습니다.
- 그룹의 주력 백도어 LODEINFO가 포함된 스피어피싱 이메일 메시지가 대상에게 전송되었습니다.
- LODEINFO는 추가 멀웨어를 전달하고, 피해자의 자격 증명을 유출하고, 피해자의 문서와 이메일을 훔치는 데 사용되었습니다.
- 이전에 설명되지 않은 MirrorStealer라는 자격 증명 도용자가 Operation LiberalFace에서 사용되었습니다.
- ESET Research는 침해 후 활동에 대한 분석을 수행했으며, 이는 관찰된 작업이 수동 또는 반수동 방식으로 수행되었음을 시사합니다.
- 이 캠페인에 대한 자세한 내용은 AVAR 2022 컨퍼런스.
MirrorFace는 일본에 기반을 둔 회사 및 조직을 대상으로 중국어를 사용하는 위협 행위자입니다. 이 위협 행위자가 APT10(맥니카, 카스퍼 스키), ESET은 이를 알려진 APT 그룹에 귀속시킬 수 없습니다. 따라서 MirrorFace라는 별도의 개체로 추적하고 있습니다. 특히, 일본의 표적에 독점적으로 사용되는 독점 악성코드인 MirrorFace와 LODEINFO는 신고 언론, 국방 관련 기업, 싱크 탱크, 외교 기관 및 학술 기관을 대상으로 합니다. MirrorFace의 목표는 스파이 활동과 관심 있는 파일의 유출입니다.
우리는 다음 지표를 기반으로 Operation LiberalFace를 MirrorFace에 귀속시킵니다.
- 우리가 아는 한, LODEINFO 맬웨어는 MirrorFace에서만 독점적으로 사용됩니다.
- LiberalFace 작전의 표적은 기존의 MirrorFace 표적과 일치합니다.
- XNUMX단계 LODEINFO 맬웨어 샘플은 MirrorFace 인프라의 일부로 내부적으로 추적하는 C&C 서버에 접속했습니다.
LiberalFace 작전에서 보낸 스피어피싱 이메일 중 하나는 특정 일본 정당의 홍보 부서에서 공식 통신문으로 위장하여 참의원 선거와 관련된 요청을 포함하고 저명한 정치인을 대신하여 보낸 것으로 알려져 있습니다. 모든 스피어피싱 이메일에는 실행 시 손상된 시스템에 LODEINFO를 배포하는 악성 첨부 파일이 포함되어 있습니다.
또한 우리는 MirrorFace가 이전에 문서화되지 않은 맬웨어(MirrorStealer라는 이름)를 사용하여 대상의 자격 증명을 훔쳤다는 사실을 발견했습니다. 이 맬웨어가 공개적으로 설명된 것은 이번이 처음이라고 생각합니다.
이 블로그 게시물에서는 작업을 수행하기 위해 LODEINFO에 전송된 C&C 명령을 포함하여 관찰된 침해 후 활동을 다룹니다. 영향을 받는 시스템에서 수행된 특정 활동에 따라 MirrorFace 운영자가 수동 또는 반수동 방식으로 LODEINFO에 명령을 내린 것으로 생각됩니다.
초기 액세스
MirrorFace는 29월 XNUMX일에 공격을 시작했습니다.th, 2022년, 악성 첨부 파일이 포함된 스피어피싱 이메일을 대상에게 배포합니다. 이메일의 제목은 다음과 같습니다. SNS用動画 拡散のお願い(Google 번역 번역: [중요] SNS용 영상 확산 요청). 그림 1과 그림 2는 그 내용을 보여줍니다.
그림 2. 번역본
미러페이스는 일본 정당의 홍보부라고 사칭해 당의 홍보를 더욱 강화하고 참의원에서 승리하기 위해 수령자들에게 자신의 소셜 미디어 프로필(SNS(Social Network Service))에 첨부된 동영상을 배포해 줄 것을 요청했다. 또한 이메일은 동영상 게시 전략에 대한 명확한 지침을 제공합니다.
10월 XNUMX일 참의원 선거가 실시된 이후th, 2022, 이 이메일은 MirrorFace가 정치 단체를 공격할 기회를 찾았음을 분명히 나타냅니다. 또한 이메일의 특정 콘텐츠는 특정 정당의 구성원이 표적이 되었음을 나타냅니다.
MirrorFace는 캠페인에서 또 다른 스피어피싱 이메일을 사용했습니다. 【参考】220628発・選挙管理委員会宛文書(添書分).EXE (Google 번역에서 번역: [참고] 220628 국토부 선거관리위원회 문서(별첨).exe). 첨부된 미끼 문서(그림 3 참조)도 참의원 선거를 참조합니다.
그림 3. 표적에게 보여지는 미끼 문서
두 경우 모두, 이메일에는 사기성 이름이 포함된 자동 압축 해제 WinRAR 아카이브 형태의 악성 첨부 파일이 포함되어 있었습니다..EXE (Google 번역에서 번역: SNS.exe 동영상 유포 요청) 및 【参考】220628発・選挙管理委員会宛文書(添書分).EXE (Google 번역에서 번역: [참고] 220628 국토부 선거관리위원회 문서(별첨).exe) 각각.
이러한 EXE는 보관된 콘텐츠를 % TEMP % 폴더. 특히 XNUMX개의 파일이 추출됩니다.
- K7SysMon.exe, DLL 검색 순서 하이재킹에 취약한 K7 Computing Pvt Ltd에서 개발한 양성 애플리케이션
- K7SysMn1.dll, 악성 로더
- K7SysMon.Exe.db, 암호화된 LODEINFO 악성코드
- 미끼 문서
그런 다음 미끼 문서가 열려 대상을 속이고 양성으로 나타납니다. 마지막 단계로, K7SysMon.exe 악성 로더를 로드하는 실행 K7SysMn1.dll 그 옆에 떨어졌다. 마지막으로 로더는 다음의 내용을 읽습니다. K7SysMon.Exe.db, 암호를 해독한 다음 실행합니다. 이 접근 방식은 Kaspersky에서도 관찰되었으며 해당 문서에 설명되어 있습니다. 신고.
툴셋
이 섹션에서는 LiberalFace 작전에 활용된 악성코드 MirrorFace에 대해 설명합니다.
로데인포
LODEINFO는 지속적으로 개발 중인 MirrorFace 백도어입니다. JPCERT 첫 번째 버전에 대해 보고했습니다. 0.1.2년 2019월경에 등장한 LODEINFO(v0.3.8); 그 기능을 통해 스크린샷 캡처, 키 로깅, 프로세스 종료, 파일 추출, 추가 파일 및 명령 실행이 가능합니다. 그 이후로 각 버전에 도입된 몇 가지 변경 사항을 관찰했습니다. 예를 들어 버전 2020(0.5.6년 2021월에 처음 감지됨)에는 ransom(정의된 파일 및 폴더를 암호화함) 명령이 추가되었고 버전 XNUMX(XNUMX년 XNUMX월에 감지됨)에는 명령이 추가되었습니다. 설정, 운영자가 레지스트리에 저장된 구성을 수정할 수 있습니다. 위에서 언급한 JPCERT 보고 외에도 LODEINFO 백도어에 대한 자세한 분석도 올해 초 카스퍼 스키.
LiberalFace 작전에서 우리는 MirrorFace 운영자가 일반 LODEINFO와 XNUMX단계 LODEINFO 맬웨어를 모두 활용하는 것을 관찰했습니다. XNUMX단계 LODEINFO는 전체적인 기능을 보면 일반 LODEINFO와 구별할 수 있습니다. 특히 XNUMX단계 LODEINFO는 구현된 명령 외부에서 PE 바이너리와 쉘코드를 받아 실행합니다. 또한 XNUMX단계 LODEINFO는 C&C 명령을 처리할 수 있습니다. 설정, 그러나 명령의 기능 몸값 누락되었습니다.
마지막으로 C&C 서버에서 받은 데이터는 일반 LODEINFO와 4단계 LODEINFO가 다릅니다. 5단계 LODEINFO의 경우 C&C 서버는 임의의 웹 페이지 콘텐츠를 실제 데이터 앞에 추가합니다. 수신된 데이터 차이를 나타내는 그림 6, 그림 XNUMX 및 그림 XNUMX을 참조하십시오. 앞에 추가된 코드 스니펫은 XNUMX단계 C&C에서 수신된 데이터 스트림마다 다릅니다.
그림 4. XNUMX단계 LODEINFO C&C에서 받은 데이터
그림 5. XNUMX단계 C&C에서 받은 데이터
그림 6. XNUMX단계 C&C에서 수신한 또 다른 데이터 스트림
미러스틸러
내부적으로 명명된 MirrorStealer 31558_n.dll MirrorFace의 크리덴셜 스틸러입니다. 우리가 아는 한, 이 맬웨어는 공개적으로 설명되지 않았습니다. 일반적으로 MirrorStealer는 브라우저 및 이메일 클라이언트와 같은 다양한 애플리케이션에서 자격 증명을 훔칩니다. 흥미롭게도 대상 애플리케이션 중 하나는 베키!, 현재 일본에서만 사용할 수 있는 이메일 클라이언트입니다. 도난당한 모든 자격 증명은 다음 위치에 저장됩니다. %TEMP%31558.txt 그리고 MirrorStealer는 훔친 데이터를 빼낼 수 있는 기능이 없기 때문에 이를 수행하기 위해 다른 맬웨어에 의존합니다.
침해 후 활동
조사하는 동안 손상된 컴퓨터에 실행된 명령 중 일부를 관찰할 수 있었습니다.
초기 환경 관찰
손상된 시스템에서 LODEINFO가 실행되고 C&C 서버에 성공적으로 연결되면 운영자가 명령을 내리기 시작했습니다(그림 7 참조).
그림 7. LODEINFO를 통한 MirrorFace 연산자의 초기 환경 관찰
먼저 운영자가 LODEINFO 명령 중 하나를 실행했습니다. 인쇄, 손상된 시스템의 화면을 캡처합니다. 이것은 또 다른 명령으로 이어졌습니다. ls, LODEINFO가 있는 현재 폴더의 내용을 보려면(즉, % TEMP %). 그 직후 운영자는 LODEINFO를 활용하여 다음을 실행하여 네트워크 정보를 얻습니다. 그물보기 와 넷뷰/도메인. 첫 번째 명령은 네트워크에 연결된 컴퓨터 목록을 반환하고 두 번째 명령은 사용 가능한 도메인 목록을 반환합니다.
자격 증명 및 브라우저 쿠키 도용
이 기본 정보를 수집한 후 운영자는 다음 단계로 이동했습니다(그림 8 참조).
그림 8. 자격 증명 도용자 배포, 자격 증명 및 브라우저 쿠키 수집, C&C 서버로 유출하기 위해 LODEINFO에 전송된 명령 흐름
운영자가 하위 명령과 함께 LODEINFO 명령 전송을 실행했습니다. -기억 제공하는 미러스틸러 손상된 시스템에 대한 맬웨어. 하위 명령 -기억 MirrorStealer를 메모리에 유지하도록 LODEINFO에 표시하는 데 사용되었습니다. 즉, MirrorStealer 바이너리가 디스크에 드롭되지 않았습니다. 그 후, 명령 기억 문제가 제기되었다. 이 명령은 LODEINFO에게 MirrorStealer를 가져와 스폰된 cmd.exe를 처리하고 실행합니다.
MirrorStealer가 자격 증명을 수집하고 %temp%31558.txt, 운영자는 LODEINFO를 사용하여 자격 증명을 유출했습니다.
운영자는 피해자의 브라우저 쿠키에도 관심이 있었습니다. 그러나 MirrorStealer에는 이러한 정보를 수집할 수 있는 기능이 없습니다. 따라서 운영자는 LODEINFO를 통해 수동으로 쿠키를 유출했습니다. 먼저 운영자는 LODEINFO 명령을 사용했습니다. DIR 폴더의 내용을 나열하려면 %LocalAppData%GoogleChrome사용자 데이터 와 %LocalAppData%MicrosoftEdgeUser 데이터. 그런 다음 운영자는 식별된 모든 쿠키 파일을 % TEMP % 폴더. 다음으로 운영자는 LODEINFO 명령을 사용하여 수집된 모든 쿠키 파일을 유출했습니다. recv. 마지막으로 운영자는 복사된 쿠키 파일을 % TEMP % 추적을 제거하려는 시도에서 폴더.
문서 및 이메일 도용
다음 단계에서 운영자는 다양한 종류의 문서와 저장된 이메일을 유출했습니다(그림 9 참조).
그림 9. 관심 있는 파일을 추출하기 위해 LODEINFO로 전송된 지침의 흐름
이를 위해 운영자는 먼저 LODEINFO를 활용하여 WinRAR 아카이버(rar.exe). 사용 rar.exe, 운영자는 폴더에서 2022-01-01 이후 수정된 관심 파일을 수집하고 보관했습니다. %USERPROFILE% 및 C:$Recycle.Bin. 운영자는 확장자가 .문서*, .ppt*, .xls*, .jtd, .eml, .*xps및 .PDF.
일반적인 문서 유형 외에도 MirrorFace는 .jtd 확대. 이것은 일본어 워드 프로세서의 문서를 나타냅니다. 이치타로 JustSystems에서 개발했습니다.
아카이브가 생성되면 운영자는 SCP(Secure Copy Protocol) 클라이언트를 퍼티 후에 (pscp.exe) 그런 다음 이를 사용하여 방금 생성된 RAR 아카이브를 다음 위치의 서버로 유출했습니다. 45.32.13[.]180. 이 IP 주소는 이전 MirrorFace 활동에서 관찰되지 않았으며 우리가 관찰한 어떤 LODEINFO 맬웨어에서도 C&C 서버로 사용되지 않았습니다. 아카이브가 유출된 직후 운영자가 삭제했습니다. rar.exe, pscp.exe, RAR 아카이브는 활동의 흔적을 정리합니다.
XNUMX단계 LODEINFO 배포
관찰한 마지막 단계는 10단계 LODEINFO를 전달하는 것이었습니다(그림 XNUMX 참조).
그림 10. XNUMX단계 LODEINFO를 배포하기 위해 LODEINFO로 전송되는 지침의 흐름
운영자는 다음 바이너리를 제공했습니다. JSESPR.dll, JsSchHlp.exe및 vcruntime140.dll 손상된 시스템에. 원래 JsSchHlp.exe JUSTSYSTEMS CORPORATION(이전에 언급한 일본어 워드 프로세서 Ichitaro의 제조업체)이 서명한 양성 응용 프로그램입니다. 그러나 이 경우 MirrorFace 운영자는 알려진 Microsoft 디지털 서명 확인을 남용했습니다. 발행물 RC4 암호화 데이터를 JsSchHlp.exe 전자 서명. 언급된 문제로 인해 Windows는 여전히 수정된 JsSchHlp.exe 유효하게 서명해야 합니다.
JsSchHlp.exe 또한 DLL 사이드 로딩에 취약합니다. 따라서 실행 시 심은 JSESPR.dll 로드됩니다(그림 11 참조).
그림 11. XNUMX단계 LODEINFO 실행 흐름
JSESPR.dll 추가된 페이로드를 읽는 악성 로더입니다. JsSchHlp.exe, 해독하고 실행합니다. 페이로드는 XNUMX단계 LODEINFO이며 일단 실행되면 운영자는 일반 LODEINFO를 활용하여 XNUMX단계에 대한 지속성을 설정합니다. 특히, 운영자는 reg.exe 이름이 지정된 값을 추가하는 유틸리티 JsSchHlp ~로 달리기 경로를 보유하는 레지스트리 키 JsSchHlp.exe.
그러나 운영자가 XNUMX단계 LODEINFO가 C&C 서버와 제대로 통신하도록 관리하지 못한 것으로 보입니다. 따라서 두 번째 단계 LODEINFO를 활용하는 운영자의 추가 단계는 우리에게 알려지지 않은 상태로 남아 있습니다.
흥미로운 관찰
조사하는 동안 우리는 몇 가지 흥미로운 관찰을 했습니다. 그 중 하나는 운영자가 LODEINFO에 명령을 내릴 때 몇 가지 오류와 오타를 범했다는 것입니다. 예를 들어, 운영자는 문자열을 보냈습니다. cmd /c 디렉토리 "c:사용" LODEINFO에, 아마도 cmd /c dir "c:사용자".
이는 운영자가 수동 또는 반 수동 방식으로 LODEINFO에 명령을 내리고 있음을 나타냅니다.
다음 관찰은 운영자가 손상된 흔적을 제거하기 위해 몇 가지 정리 작업을 수행했음에도 불구하고 운영자가 삭제하는 것을 잊었다는 것입니다. %temp%31558.txt – 도난당한 자격 증명이 포함된 로그. 따라서 적어도 이 흔적은 손상된 시스템에 남아 있으며 운영자가 정리 프로세스를 철저하게 수행하지 않았음을 보여줍니다.
결론
MirrorFace는 계속해서 일본에서 고가치 표적을 노리고 있습니다. LiberalFace 작전에서는 특히 다가오는 참의원 선거를 유리하게 활용하는 정치 단체를 표적으로 삼았습니다. 더 흥미롭게도 우리의 연구 결과는 MirrorFace가 특히 특정 정당의 구성원에 초점을 맞추고 있음을 나타냅니다.
LiberalFace 작전 조사 중에 피해자로부터 귀중한 데이터를 수집하고 유출하기 위한 추가 멀웨어 및 도구의 배포 및 활용과 같은 추가 MirrorFace TTP를 발견했습니다. 또한 조사 결과 미러페이스 운영자는 다소 부주의하여 흔적을 남기고 다양한 실수를 저지르는 것으로 나타났습니다.
ESET Research는 비공개 APT 인텔리전스 보고서 및 데이터 피드도 제공합니다. 이 서비스에 대한 문의 사항은 다음을 방문하십시오. ESET 위협 인텔리전스 페이지.
IoC
파일
| SHA-1 | 파일 이름 | ESET 탐지 이름 | 상품 설명 |
|---|---|---|---|
| F4691FF3B3ACD15653684F372285CAC36C8D0AEF | K7SysMn1.dll | Win32/Agent.ACLP | LODEINFO 로더. |
| DB81C8719DDAAE40C8D9B9CA103BBE77BE4FCE6C | K7SysMon.Exe.db | 해당 사항 없음 | 암호화된 LODEINFO. |
| A8D2BE15085061B753FDEBBDB08D301A034CE1D5 | JsSchHlp.exe | Win32/Agent.ACLP | JsSchHlp.exe 추가된 암호화된 XNUMX단계 LODEINFO 보안 디렉토리. |
| 0AB7BB3FF583E50FBF28B288E71D3BB57F9D1395 | JSESPR.dll | Win32/Agent.ACLP | XNUMX단계 LODEINFO 로더. |
| E888A552B00D810B5521002304D4F11BC249D8ED | 31558_n.dll | Win32/Agent.ACLP | MirrorStealer 자격 증명 도용자입니다. |
네트워크
| IP | Provider | 처음 본 | 세부 정보 |
|---|---|---|---|
| 5.8.95[.]174 | G-Core Labs SA | 2022-06-13 | LODEINFO C&C 서버. |
| 45.32.13[.]180 | AS 추파 | 2022-06-29 | 데이터 유출을 위한 서버. |
| 103.175.16[.]39 | 기가비트 호스팅 Sdn Bhd | 2022-06-13 | LODEINFO C&C 서버. |
| 167.179.116[.]56 | AS 추파 | 2021-10-20 | www.ninesmn[.]com, XNUMX단계 LODEINFO C&C 서버. |
| 172.105.217[.]233 | 리노드, LLC | 2021-11-14 | www.애소런위[.]com, XNUMX단계 LODEINFO C&C 서버. |
MITRE ATT&CK 기술
이 테이블은 다음을 사용하여 제작되었습니다. 버전 12 MITRE ATT&CK 프레임워크.
이 정보는 이미 다른 간행물에서 사용할 수 있기 때문에 이 블로그 게시물에서 LODEINFO 기능에 대한 전체 개요를 제공하지는 않지만 아래의 MITRE ATT&CK 표에는 이와 관련된 모든 기술이 포함되어 있습니다.
| 술책 | ID | 성함 | 상품 설명 |
|---|---|---|---|
| 초기 액세스 | T1566.001 | 피싱: 스피어피싱 첨부 파일 | 악성 WinRAR SFX 아카이브가 스피어피싱 이메일에 첨부되었습니다. |
| 실행 | T1106 | 네이티브 API | LODEINFO는 다음을 사용하여 파일을 실행할 수 있습니다. CreateProcessA API. |
| T1204.002 | 사용자 실행: 악성 파일 | MirrorFace 운영자는 이메일을 통해 전송된 악성 첨부 파일을 여는 피해자에 의존합니다. | |
| T1559.001 | 프로세스 간 통신: 구성 요소 개체 모델 | LODEINFO는 Component Object Model을 통해 명령을 실행할 수 있습니다. | |
| 고집 | T1547.001 | 부팅 또는 로그온 자동 시작 실행: 레지스트리 실행 키/시작 폴더 | LODEINFO는 HKCU 실행 지속성을 보장하는 열쇠.
우리는 MirrorFace 운영자가 항목을 수동으로 추가하는 것을 관찰했습니다. HKCU 실행 XNUMX단계 LODEINFO의 지속성을 보장하는 키입니다. |
| 방어 회피 | T1112 | 레지스트리 수정 | LODEINFO는 레지스트리에 구성을 저장할 수 있습니다. |
| T1055 | 공정 주입 | LODEINFO는 쉘코드를 cmd.exe를. | |
| T1140 | 파일 또는 정보의 난독화/디코드 | LODEINFO 로더는 단일 바이트 XOR 또는 RC4를 사용하여 페이로드를 해독합니다. | |
| T1574.002 | 하이재킹 실행 흐름: DLL 사이드 로딩 | MirrorFace는 악성 라이브러리와 합법적인 실행 파일(예: K7SysMon.exe). | |
| 발견 | T1082 | 시스템 정보 검색 | LODEINFO는 손상된 시스템에 지문을 남깁니다. |
| T1083 | 파일 및 디렉토리 검색 | LODEINFO는 파일 및 디렉토리 목록을 얻을 수 있습니다. | |
| T1057 | 프로세스 발견 | LODEINFO는 실행 중인 프로세스를 나열할 수 있습니다. | |
| T1033 | 시스템 소유자/사용자 검색 | LODEINFO는 피해자의 사용자 이름을 얻을 수 있습니다. | |
| T1614.001 | 시스템 위치 검색: 시스템 언어 검색 | LODEINFO는 시스템 언어를 확인하여 영어를 사용하도록 설정된 시스템에서 실행되고 있지 않은지 확인합니다. | |
| 수집 | T1560.001 | 수집된 데이터 보관: 유틸리티를 통한 보관 | 우리는 MirrorFace 운영자가 RAR 아카이버를 사용하여 수집된 데이터를 보관하는 것을 관찰했습니다. |
| T1114.001 | 이메일 수집: 로컬 이메일 수집 | 우리는 저장된 이메일 메시지를 수집하는 MirrorFace 운영자를 관찰했습니다. | |
| T1056.001 | 입력 캡처: 키로깅 | LODEINFO는 키로깅을 수행합니다. | |
| T1113 | 화면 캡처 | LODEINFO는 스크린샷을 얻을 수 있습니다. | |
| T1005 | 로컬 시스템의 데이터 | 우리는 MirrorFace 운영자가 관심 있는 데이터를 수집하고 유출하는 것을 관찰했습니다. | |
| 명령 및 제어 | T1071.001 | 애플리케이션 계층 프로토콜: 웹 프로토콜 | LODEINFO는 HTTP 프로토콜을 사용하여 C&C 서버와 통신합니다. |
| T1132.001 | 데이터 인코딩: 표준 인코딩 | LODEINFO는 URL 안전 base64를 사용하여 C&C 트래픽을 인코딩합니다. | |
| T1573.001 | 암호화된 채널: 대칭 암호화 | LODEINFO는 AES-256-CBC를 사용하여 C&C 트래픽을 암호화합니다. | |
| T1001.001 | 데이터 난독화: 정크 데이터 | XNUMX단계 LODEINFO C&C는 전송된 데이터 앞에 정크를 추가합니다. | |
| 여과 | T1041 | C2 채널을 통한 유출 | LODEINFO는 파일을 C&C 서버로 유출할 수 있습니다. |
| T1071.002 | 애플리케이션 계층 프로토콜: 파일 전송 프로토콜 | 우리는 수집된 데이터를 빼내기 위해 SCP(Secure Copy Protocol)를 사용하는 MirrorFace를 관찰했습니다. | |
| 영향 | T1486 | 영향력을 위해 암호화된 데이터 | LODEINFO는 피해자의 컴퓨터에 있는 파일을 암호화할 수 있습니다. |
