MirrorFace ontmaskeren: Operatie LiberalFace gericht op Japanse politieke entiteiten

ESET-onderzoekers ontdekten een spearphishing-campagne, gelanceerd in de weken voorafgaand aan de Verkiezing Japanse Huis van Raadsleden in juli 2022, door de APT-groep die ESET Research volgt als MirrorFace. De campagne, die we Operatie LiberalFace hebben genoemd, was gericht op Japanse politieke entiteiten; uit ons onderzoek bleek dat de leden van een bepaalde politieke partij in het bijzonder centraal stonden in deze campagne. ESET Research ontmaskerde details over deze campagne en de APT-groep erachter tijdens de AVAR 2022-conferentie begin deze maand.

MirrorFace is een Chinees sprekende bedreigingsactor die zich richt op bedrijven en organisaties in Japan. Hoewel er enige speculatie is dat deze bedreigingsactor mogelijk verband houdt met APT10 (Macnica, Kaspersky), kan ESET het niet toewijzen aan een bekende APT-groep. Daarom volgen we het als een afzonderlijke entiteit die we MirrorFace hebben genoemd. Met name MirrorFace en LODEINFO, de eigen malware die uitsluitend wordt gebruikt tegen doelen in Japan, zijn besmet gerapporteerd zoals gericht op media, defensiegerelateerde bedrijven, denktanks, diplomatieke organisaties en academische instellingen. Het doel van MirrorFace is spionage en exfiltratie van interessante bestanden.

We schrijven Operatie LiberalFace toe aan MirrorFace op basis van deze indicatoren:

• Voor zover wij weten, wordt LODEINFO-malware uitsluitend gebruikt door MirrorFace.
• De doelen van Operatie LiberalFace komen overeen met traditionele MirrorFace-targeting.
• Een LODEINFO-malwaremonster uit de tweede fase maakte contact met een C&C-server die we intern volgen als onderdeel van de MirrorFace-infrastructuur.

Een van de spearphishing-e-mails die tijdens Operatie LiberalFace werden verzonden, deed zich voor als een officieel bericht van de PR-afdeling van een specifieke Japanse politieke partij, met een verzoek in verband met de verkiezingen voor het Huis van Raadsleden, en zou zijn verzonden namens een prominente politicus. Alle spearphishing-e-mails bevatten een kwaadaardige bijlage die bij uitvoering LODEINFO op de gecompromitteerde machine plaatste.

Bovendien ontdekten we dat MirrorFace eerder ongedocumenteerde malware heeft gebruikt, die we MirrorStealer hebben genoemd, om de inloggegevens van zijn doelwit te stelen. We denken dat dit de eerste keer is dat deze malware publiekelijk is beschreven.

In deze blogpost behandelen we de waargenomen post-compromisactiviteiten, inclusief de C&C-commando's die naar LODEINFO zijn gestuurd om de acties uit te voeren. Op basis van bepaalde activiteiten die op de getroffen machine zijn uitgevoerd, denken we dat de MirrorFace-operator handmatig of semi-handmatig commando's aan LODEINFO heeft gegeven.

Eerste toegang

MirrorFace begon de aanval op 29 juni^th, 2022, waarbij spearphishing-e-mails werden verspreid met een kwaadaardige bijlage bij de doelwitten. Het onderwerp van de e-mail was SNS用動画 拡散のお願い (vertaling van Google Translate: [Belangrijk] Verzoek om video's te verspreiden voor SNS). Figuur 1 en Figuur 2 tonen de inhoud ervan.

Figuur 2. Vertaalde versie

MirrorFace, die beweerde de PR-afdeling van een Japanse politieke partij te zijn, vroeg de ontvangers om de bijgevoegde video's op hun eigen socialemediaprofielen (SNS - Social Network Service) te verspreiden om de PR van de partij verder te versterken en de overwinning in het Huis van Raadsleden veilig te stellen. Bovendien bevat de e-mail duidelijke instructies over de publicatiestrategie van de video's.

Sinds de verkiezing van het Huis van Raadsleden op 10 juli^th, 2022, deze e-mail geeft duidelijk aan dat MirrorFace de gelegenheid zocht om politieke entiteiten aan te vallen. Specifieke inhoud in de e-mail geeft ook aan dat leden van een bepaalde politieke partij het doelwit waren.

MirrorFace gebruikte ook een andere spearphishing-e-mail in de campagne, waarbij de bijlage een titel had 【参考】220628発・選挙管理委員会宛文書（添書分）.exe (vertaling van Google Translate: [Referentie] 220628 Documenten van het ministerie van verkiezingsadministratiecommissie (bijlage).exe). Het bijgevoegde lokdocument (weergegeven in figuur 3) verwijst ook naar de verkiezing van het Huis van Raadsleden.

Figuur 3. Afleidingsdocument getoond aan het doelwit

In beide gevallen bevatten de e-mails kwaadaardige bijlagen in de vorm van zelfuitpakkende WinRAR-archieven met misleidende namen SNS用動画 拡散のお願い.exe (vertaling van Google Translate: Aanvraag voor het verspreiden van video's voor SNS.exe) en 【参考】220628発・選挙管理委員会宛文書（添書分）.exe (vertaling van Google Translate: [Referentie] 220628 Documenten van het ministerie van verkiezingsadministratiecommissie (bijlage).exe) respectievelijk.

Deze EXE's extraheren hun gearchiveerde inhoud in het % TEMP% map. Er worden met name vier bestanden uitgepakt:

• K7SysMon.exe, een goedaardige applicatie ontwikkeld door K7 Computing Pvt Ltd die kwetsbaar is voor het kapen van DLL-zoekopdrachten
• K7SysMn1.dll, een kwaadaardige lader
• K7SysMon.Exe.db, gecodeerde LODEINFO-malware
• Een lokdocument

Vervolgens wordt het lokdocument geopend om het doelwit te misleiden en goedaardig over te komen. Als laatste stap, K7SysMon.exe wordt uitgevoerd die de kwaadaardige loader laadt K7SysMn1.dll viel ernaast. Ten slotte leest de lader de inhoud van K7SysMon.Exe.db, decodeert het en voert het vervolgens uit. Merk op dat deze aanpak ook door Kaspersky is waargenomen en beschreven in hun verslag.

toolset

In dit gedeelte beschrijven we de malware MirrorFace die is gebruikt in Operatie LiberalFace.

LODEINFO

LODEINFO is een MirrorFace-achterdeur die voortdurend wordt ontwikkeld. JPCERT bericht over de eerste versie van LODEINFO (v0.1.2), dat rond december 2019 verscheen; de functionaliteit maakt het mogelijk om screenshots te maken, keylogging, processen te doden, bestanden te exfiltreren en aanvullende bestanden en opdrachten uit te voeren. Sindsdien hebben we verschillende wijzigingen waargenomen in elk van de versies. Versie 0.3.8 (die we voor het eerst ontdekten in juni 2020) voegde bijvoorbeeld het commando losgeld toe (dat gedefinieerde bestanden en mappen versleutelt), en versie 0.5.6 (dat we ontdekten in juli 2021) voegde het commando toe config, waarmee operators de in het register opgeslagen configuratie kunnen wijzigen. Naast de hierboven genoemde JPCERT-rapportage, werd eerder dit jaar ook een gedetailleerde analyse van de LODEINFO-achterdeur gepubliceerd door Kaspersky.

Tijdens Operatie LiberalFace zagen we dat MirrorFace-operators zowel de reguliere LODEINFO-malware gebruikten als wat we de tweede fase LODEINFO-malware noemen. De tweede trap LODEINFO kan worden onderscheiden van de reguliere LODEINFO door te kijken naar de algehele functionaliteit. Met name de tweede trap LODEINFO accepteert PE-binaries en shellcode en voert deze uit buiten de geïmplementeerde opdrachten om. Bovendien kan de tweede trap LODEINFO het C&C-commando verwerken config, maar de functionaliteit voor de opdracht losgeld ontbreekt.

Ten slotte verschillen de gegevens die van de C&C-server worden ontvangen tussen de reguliere LODEINFO en die van de tweede fase. Voor de tweede fase LODEINFO voegt de C&C-server willekeurige webpagina-inhoud toe aan de daadwerkelijke gegevens. Zie Afbeelding 4, Afbeelding 5 en Afbeelding 6 die het ontvangen gegevensverschil weergeven. Merk op dat het voorafgaande codefragment voor elke ontvangen gegevensstroom verschilt van de C&C van de tweede fase.

Figuur 4. Gegevens ontvangen van de eerste trap LODEINFO C&C

Figuur 5. Gegevens ontvangen van de tweede trap C&C

Afbeelding 6. Een andere gegevensstroom ontvangen van de C&C van de tweede trap

SpiegelStealer

MirrorStealer, intern genoemd 31558_n.dll door MirrorFace, is een credential stealer. Voor zover wij weten, is deze malware niet openbaar beschreven. Over het algemeen steelt MirrorStealer inloggegevens van verschillende applicaties zoals browsers en e-mailclients. Interessant is dat een van de gerichte toepassingen is Becky!, een e-mailclient die momenteel alleen beschikbaar is in Japan. Alle gestolen inloggegevens zijn opgeslagen in %TEMP%31558.txt en aangezien MirrorStealer niet de mogelijkheid heeft om de gestolen gegevens te exfiltreren, is het afhankelijk van andere malware om dit te doen.

Activiteiten na een compromis

Tijdens ons onderzoek konden we enkele commando's observeren die werden gegeven aan gecompromitteerde computers.

Eerste observatie van de omgeving

Nadat LODEINFO op de gecompromitteerde machines was gelanceerd en ze met succes verbinding hadden gemaakt met de C&C-server, begon een operator commando's te geven (zie afbeelding 7).

Figuur 7. Initiële observatie van de omgeving door de MirrorFace-operator via LODEINFO

Eerst gaf de operator een van de LODEINFO-commando's, print, om het scherm van de gecompromitteerde machine vast te leggen. Dit werd gevolgd door een ander commando, ls, om de inhoud te zien van de huidige map waarin LODEINFO zich bevindt (bijv. % TEMP%). Meteen daarna gebruikte de operator LODEINFO om netwerkinformatie te verkrijgen door te draaien netto weergave en netweergave /domein. De eerste opdracht retourneert de lijst met computers die op het netwerk zijn aangesloten, terwijl de tweede de lijst met beschikbare domeinen retourneert.

Het stelen van inloggegevens en browsercookies

Nadat hij deze basisinformatie had verzameld, ging de operator naar de volgende fase (zie figuur 8).

Afbeelding 8. Stroom van instructies verzonden naar LODEINFO om credential stealer in te zetten, inloggegevens en browsercookies te verzamelen en deze te exfiltreren naar de C&C-server

De operator gaf het LODEINFO-commando send met het subcommando -geheugen afleveren SpiegelStealer malware naar de gecompromitteerde machine. Het ondercommando -geheugen werd gebruikt om aan LODEINFO aan te geven dat MirrorStealer in zijn geheugen moet worden bewaard, wat betekent dat het binaire bestand MirrorStealer nooit op schijf is geplaatst. Vervolgens de opdracht geheugen werd uitgegeven. Dit commando instrueerde LODEINFO om MirrorStealer te nemen en het in de spawned te injecteren cmd.exe proces en voer het uit.

Nadat MirrorStealer de inloggegevens had verzameld en opgeslagen %temp%31558.txt, gebruikte de operator LODEINFO om de inloggegevens te exfiltreren.

De operator was ook geïnteresseerd in de browsercookies van het slachtoffer. MirrorStealer heeft echter niet de mogelijkheid om die te verzamelen. Daarom exfiltreerde de operator de cookies handmatig via LODEINFO. Eerst gebruikte de operator het LODEINFO-commando dir om de inhoud van de mappen weer te geven % LocalAppData% GoogleChromeGebruikersgegevens en %LocalAppData%MicrosoftEdgeGebruikersgegevens. Vervolgens kopieerde de operator alle geïdentificeerde cookiebestanden naar de % TEMP% map. Vervolgens exfiltreerde de operator alle verzamelde cookiebestanden met behulp van de opdracht LODEINFO recv. Ten slotte heeft de operator de gekopieerde cookiebestanden verwijderd uit de % TEMP% map in een poging de sporen te verwijderen.

Documenten en e-mail stelen

In de volgende stap exfiltreerde de operator verschillende soorten documenten en opgeslagen e-mails (zie afbeelding 9).

Figuur 9. Stroom van de instructies die naar LODEINFO worden gestuurd om relevante bestanden te exfiltreren

Daarvoor gebruikte de operator eerst LODEINFO om de WinRAR-archiver te leveren (rar.exe). Gebruik makend van rar.exe, heeft de operator interessante bestanden verzameld en gearchiveerd die na 2022-01-01 zijn gewijzigd uit de mappen %USERPROFILE% en C:$Recycle.Bin. De operator was geïnteresseerd in al die bestanden met de extensie .document*, .ppt*, .xls*, .jtd, .eml, .*xps en .pdf.

Merk op dat MirrorFace naast de gangbare documenttypes ook geïnteresseerd was in bestanden met de .jtd verlenging. Dit zijn documenten van de Japanse tekstverwerker Ichitaro ontwikkeld door JustSystems.

Nadat het archief was gemaakt, leverde de operator de Secure Copy Protocol (SCP)-client van de PuTTY na (pscp.exe) en gebruikte het vervolgens om het zojuist gemaakte RAR-archief te exfiltreren naar de server op 45.32.13[.]180. Dit IP-adres was niet waargenomen in eerdere MirrorFace-activiteit en was niet gebruikt als een C&C-server in LODEINFO-malware die we hebben waargenomen. Meteen nadat het archief was geëxfiltreerd, heeft de operator het verwijderd rar.exe, pscp.exe, en het RAR-archief om de sporen van de activiteit op te ruimen.

Inzet van tweede trap LODEINFO

De laatste stap die we hebben waargenomen, was het afleveren van de tweede fase LODEINFO (zie figuur 10).

Figuur 10. Stroom van instructies verzonden naar LODEINFO om LODEINFO van de tweede trap in te zetten

De operator leverde de volgende binaire bestanden: JSESPR.dll, JsSchHlp.exe en vcruntime140.dll naar de gecompromitteerde machine. Het origineel JsSchHlp.exe is een goedaardige applicatie ondertekend door JUSTSYSTEMS CORPORATION (makers van de eerder genoemde Japanse tekstverwerker, Ichitaro). In dit geval maakte de MirrorFace-operator echter misbruik van een bekende digitale handtekeningverificatie van Microsoft kwestie en voegde RC4-gecodeerde gegevens toe aan de JsSchHlp.exe digitale handtekening. Vanwege het genoemde probleem beschouwt Windows nog steeds het gewijzigde JsSchHlp.exe geldig ondertekend te zijn.

JsSchHlp.exe is ook vatbaar voor DLL side-loading. Daarom, bij executie, de geplant JSESPR.dll is geladen (zie afbeelding 11).

Figuur 11. Uitvoeringsstroom van LODEINFO in de tweede fase

JSESPR.dll is een kwaadaardige loader die de toegevoegde payload leest van JsSchHlp.exe, decodeert het en voert het uit. De payload is de LODEINFO van de tweede fase, en eenmaal uitgevoerd, gebruikte de operator de reguliere LODEINFO om de persistentie voor de tweede fase in te stellen. Met name de telefoniste runde de reg.exe hulpprogramma om een ​​waarde met de naam toe te voegen JsSchHlp aan de lopen registersleutel met het pad naar JsSchHlp.exe.

Het lijkt ons echter dat de operator er niet in is geslaagd om de tweede trap LODEINFO goed te laten communiceren met de C&C-server. Daarom blijven verdere stappen van de operator die de tweede trap LODEINFO gebruikt onbekend voor ons.

Interessante observaties

Tijdens het onderzoek hebben we een aantal interessante observaties gedaan. Een daarvan is dat de operator enkele fouten en typefouten heeft gemaakt bij het geven van commando's aan LODEINFO. De operator heeft bijvoorbeeld de string verzonden cmd /c dir "c:gebruik" naar LODEINFO, wat waarschijnlijk de bedoeling was cmd /c dir "c:gebruikers".

Dit suggereert dat de operator handmatig of semi-handmatig commando's aan LODEINFO geeft.

Onze volgende observatie is dat hoewel de operator een paar opruimingen heeft uitgevoerd om sporen van het compromis te verwijderen, de operator vergat te verwijderen %temp%31558.txt – het logboek met de gestolen inloggegevens. Dit spoor bleef dus in ieder geval achter op de gecompromitteerde machine en het laat ons zien dat de operator niet grondig was in het opruimproces.

Conclusie

MirrorFace blijft streven naar hoogwaardige doelen in Japan. In Operatie LiberalFace richtte het zich specifiek op politieke entiteiten die de toen aanstaande verkiezing van het Huis van Raadsleden in hun voordeel gebruikten. Interessanter is dat onze bevindingen aangeven dat MirrorFace zich met name richtte op de leden van een specifieke politieke partij.

Tijdens het onderzoek van Operatie LiberalFace zijn we erin geslaagd om meer MirrorFace TTP's aan het licht te brengen, zoals de inzet en het gebruik van aanvullende malware en tools om waardevolle gegevens van slachtoffers te verzamelen en te exfiltreren. Bovendien bleek uit ons onderzoek dat de MirrorFace-operators enigszins onvoorzichtig zijn, sporen achterlaten en verschillende fouten maken.

IoC's

Bestanden

Netwerk

MITRE ATT&CK-technieken

Deze tafel is gemaakt met behulp van versie 12 van het MITRE ATT&CK raamwerk.

Merk op dat hoewel deze blogpost geen volledig overzicht geeft van de LODEINFO-mogelijkheden omdat deze informatie al beschikbaar is in andere publicaties, de MITRE ATT&CK-tabel hieronder alle bijbehorende technieken bevat.