Onderzoekers van ESET ontdekten een paar weken voor de verkiezingen voor het Huis van Raadsleden een spearphishing-campagne gericht op Japanse politieke entiteiten en ontdekten daarbij een niet eerder beschreven MirrorFace-credentialer
ESET-onderzoekers ontdekten een spearphishing-campagne, gelanceerd in de weken voorafgaand aan de Verkiezing Japanse Huis van Raadsleden in juli 2022, door de APT-groep die ESET Research volgt als MirrorFace. De campagne, die we Operatie LiberalFace hebben genoemd, was gericht op Japanse politieke entiteiten; uit ons onderzoek bleek dat de leden van een bepaalde politieke partij in het bijzonder centraal stonden in deze campagne. ESET Research ontmaskerde details over deze campagne en de APT-groep erachter tijdens de AVAR 2022-conferentie begin deze maand.
- Eind juni 2022 lanceerde MirrorFace een campagne, die we Operation LiberalFace hebben genoemd, gericht op Japanse politieke entiteiten.
- Spearphishing-e-mailberichten met de vlaggenschip achterdeur LODEINFO van de groep werden naar de doelen gestuurd.
- LODEINFO werd gebruikt om aanvullende malware te leveren, de inloggegevens van het slachtoffer te exfiltreren en de documenten en e-mails van het slachtoffer te stelen.
- Een niet eerder beschreven credential stealer die we MirrorStealer hebben genoemd, werd gebruikt in Operatie LiberalFace.
- ESET Research heeft een analyse uitgevoerd van de post-compromisactiviteiten, wat suggereert dat de waargenomen acties handmatig of semi-handmatig zijn uitgevoerd.
- Details over deze campagne werden gedeeld op de AVAR 2022-conferentie.
MirrorFace is een Chinees sprekende bedreigingsactor die zich richt op bedrijven en organisaties in Japan. Hoewel er enige speculatie is dat deze bedreigingsactor mogelijk verband houdt met APT10 (Macnica, Kaspersky), kan ESET het niet toewijzen aan een bekende APT-groep. Daarom volgen we het als een afzonderlijke entiteit die we MirrorFace hebben genoemd. Met name MirrorFace en LODEINFO, de eigen malware die uitsluitend wordt gebruikt tegen doelen in Japan, zijn besmet gerapporteerd zoals gericht op media, defensiegerelateerde bedrijven, denktanks, diplomatieke organisaties en academische instellingen. Het doel van MirrorFace is spionage en exfiltratie van interessante bestanden.
We schrijven Operatie LiberalFace toe aan MirrorFace op basis van deze indicatoren:
- Voor zover wij weten, wordt LODEINFO-malware uitsluitend gebruikt door MirrorFace.
- De doelen van Operatie LiberalFace komen overeen met traditionele MirrorFace-targeting.
- Een LODEINFO-malwaremonster uit de tweede fase maakte contact met een C&C-server die we intern volgen als onderdeel van de MirrorFace-infrastructuur.
Een van de spearphishing-e-mails die tijdens Operatie LiberalFace werden verzonden, deed zich voor als een officieel bericht van de PR-afdeling van een specifieke Japanse politieke partij, met een verzoek in verband met de verkiezingen voor het Huis van Raadsleden, en zou zijn verzonden namens een prominente politicus. Alle spearphishing-e-mails bevatten een kwaadaardige bijlage die bij uitvoering LODEINFO op de gecompromitteerde machine plaatste.
Bovendien ontdekten we dat MirrorFace eerder ongedocumenteerde malware heeft gebruikt, die we MirrorStealer hebben genoemd, om de inloggegevens van zijn doelwit te stelen. We denken dat dit de eerste keer is dat deze malware publiekelijk is beschreven.
In deze blogpost behandelen we de waargenomen post-compromisactiviteiten, inclusief de C&C-commando's die naar LODEINFO zijn gestuurd om de acties uit te voeren. Op basis van bepaalde activiteiten die op de getroffen machine zijn uitgevoerd, denken we dat de MirrorFace-operator handmatig of semi-handmatig commando's aan LODEINFO heeft gegeven.
Eerste toegang
MirrorFace begon de aanval op 29 junith, 2022, waarbij spearphishing-e-mails werden verspreid met een kwaadaardige bijlage bij de doelwitten. Het onderwerp van de e-mail was SNS็จๅ็ป ๆกๆฃใฎใ้กใ (vertaling van Google Translate: [Belangrijk] Verzoek om video's te verspreiden voor SNS). Figuur 1 en Figuur 2 tonen de inhoud ervan.
MirrorFace, die beweerde de PR-afdeling van een Japanse politieke partij te zijn, vroeg de ontvangers om de bijgevoegde video's op hun eigen socialemediaprofielen (SNS - Social Network Service) te verspreiden om de PR van de partij verder te versterken en de overwinning in het Huis van Raadsleden veilig te stellen. Bovendien bevat de e-mail duidelijke instructies over de publicatiestrategie van de video's.
Sinds de verkiezing van het Huis van Raadsleden op 10 julith, 2022, deze e-mail geeft duidelijk aan dat MirrorFace de gelegenheid zocht om politieke entiteiten aan te vallen. Specifieke inhoud in de e-mail geeft ook aan dat leden van een bepaalde politieke partij het doelwit waren.
MirrorFace gebruikte ook een andere spearphishing-e-mail in de campagne, waarbij de bijlage een titel had ใๅ่ใ220628็บใป้ธๆ็ฎก็ๅงๅกไผๅฎๆๆธ๏ผๆทปๆธๅ๏ผ.exe (vertaling van Google Translate: [Referentie] 220628 Documenten van het ministerie van verkiezingsadministratiecommissie (bijlage).exe). Het bijgevoegde lokdocument (weergegeven in figuur 3) verwijst ook naar de verkiezing van het Huis van Raadsleden.
In beide gevallen bevatten de e-mails kwaadaardige bijlagen in de vorm van zelfuitpakkende WinRAR-archieven met misleidende namen SNS็จๅ็ป ๆกๆฃใฎใ้กใ.exe (vertaling van Google Translate: Aanvraag voor het verspreiden van video's voor SNS.exe) en ใๅ่ใ220628็บใป้ธๆ็ฎก็ๅงๅกไผๅฎๆๆธ๏ผๆทปๆธๅ๏ผ.exe (vertaling van Google Translate: [Referentie] 220628 Documenten van het ministerie van verkiezingsadministratiecommissie (bijlage).exe) respectievelijk.
Deze EXE's extraheren hun gearchiveerde inhoud in het % TEMP% map. Er worden met name vier bestanden uitgepakt:
- K7SysMon.exe, een goedaardige applicatie ontwikkeld door K7 Computing Pvt Ltd die kwetsbaar is voor het kapen van DLL-zoekopdrachten
- K7SysMn1.dll, een kwaadaardige lader
- K7SysMon.Exe.db, gecodeerde LODEINFO-malware
- Een lokdocument
Vervolgens wordt het lokdocument geopend om het doelwit te misleiden en goedaardig over te komen. Als laatste stap, K7SysMon.exe wordt uitgevoerd die de kwaadaardige loader laadt K7SysMn1.dll viel ernaast. Ten slotte leest de lader de inhoud van K7SysMon.Exe.db, decodeert het en voert het vervolgens uit. Merk op dat deze aanpak ook door Kaspersky is waargenomen en beschreven in hun verslag.
toolset
In dit gedeelte beschrijven we de malware MirrorFace die is gebruikt in Operatie LiberalFace.
LODEINFO
LODEINFO is een MirrorFace-achterdeur die voortdurend wordt ontwikkeld. JPCERT bericht over de eerste versie van LODEINFO (v0.1.2), dat rond december 2019 verscheen; de functionaliteit maakt het mogelijk om screenshots te maken, keylogging, processen te doden, bestanden te exfiltreren en aanvullende bestanden en opdrachten uit te voeren. Sindsdien hebben we verschillende wijzigingen waargenomen in elk van de versies. Versie 0.3.8 (die we voor het eerst ontdekten in juni 2020) voegde bijvoorbeeld het commando losgeld toe (dat gedefinieerde bestanden en mappen versleutelt), en versie 0.5.6 (dat we ontdekten in juli 2021) voegde het commando toe config, waarmee operators de in het register opgeslagen configuratie kunnen wijzigen. Naast de hierboven genoemde JPCERT-rapportage, werd eerder dit jaar ook een gedetailleerde analyse van de LODEINFO-achterdeur gepubliceerd door Kaspersky.
Tijdens Operatie LiberalFace zagen we dat MirrorFace-operators zowel de reguliere LODEINFO-malware gebruikten als wat we de tweede fase LODEINFO-malware noemen. De tweede trap LODEINFO kan worden onderscheiden van de reguliere LODEINFO door te kijken naar de algehele functionaliteit. Met name de tweede trap LODEINFO accepteert PE-binaries en shellcode en voert deze uit buiten de geรฏmplementeerde opdrachten om. Bovendien kan de tweede trap LODEINFO het C&C-commando verwerken config, maar de functionaliteit voor de opdracht losgeld ontbreekt.
Ten slotte verschillen de gegevens die van de C&C-server worden ontvangen tussen de reguliere LODEINFO en die van de tweede fase. Voor de tweede fase LODEINFO voegt de C&C-server willekeurige webpagina-inhoud toe aan de daadwerkelijke gegevens. Zie Afbeelding 4, Afbeelding 5 en Afbeelding 6 die het ontvangen gegevensverschil weergeven. Merk op dat het voorafgaande codefragment voor elke ontvangen gegevensstroom verschilt van de C&C van de tweede fase.
SpiegelStealer
MirrorStealer, intern genoemd 31558_n.dll door MirrorFace, is een credential stealer. Voor zover wij weten, is deze malware niet openbaar beschreven. Over het algemeen steelt MirrorStealer inloggegevens van verschillende applicaties zoals browsers en e-mailclients. Interessant is dat een van de gerichte toepassingen is Becky!, een e-mailclient die momenteel alleen beschikbaar is in Japan. Alle gestolen inloggegevens zijn opgeslagen in %TEMP%31558.txt en aangezien MirrorStealer niet de mogelijkheid heeft om de gestolen gegevens te exfiltreren, is het afhankelijk van andere malware om dit te doen.
Activiteiten na een compromis
Tijdens ons onderzoek konden we enkele commando's observeren die werden gegeven aan gecompromitteerde computers.
Eerste observatie van de omgeving
Nadat LODEINFO op de gecompromitteerde machines was gelanceerd en ze met succes verbinding hadden gemaakt met de C&C-server, begon een operator commando's te geven (zie afbeelding 7).
Eerst gaf de operator een van de LODEINFO-commando's, print, om het scherm van de gecompromitteerde machine vast te leggen. Dit werd gevolgd door een ander commando, ls, om de inhoud te zien van de huidige map waarin LODEINFO zich bevindt (bijv. % TEMP%). Meteen daarna gebruikte de operator LODEINFO om netwerkinformatie te verkrijgen door te draaien netto weergave en netweergave /domein. De eerste opdracht retourneert de lijst met computers die op het netwerk zijn aangesloten, terwijl de tweede de lijst met beschikbare domeinen retourneert.
Het stelen van inloggegevens en browsercookies
Nadat hij deze basisinformatie had verzameld, ging de operator naar de volgende fase (zie figuur 8).
De operator gaf het LODEINFO-commando send met het subcommando -geheugen afleveren SpiegelStealer malware naar de gecompromitteerde machine. Het ondercommando -geheugen werd gebruikt om aan LODEINFO aan te geven dat MirrorStealer in zijn geheugen moet worden bewaard, wat betekent dat het binaire bestand MirrorStealer nooit op schijf is geplaatst. Vervolgens de opdracht geheugen werd uitgegeven. Dit commando instrueerde LODEINFO om MirrorStealer te nemen en het in de spawned te injecteren cmd.exe proces en voer het uit.
Nadat MirrorStealer de inloggegevens had verzameld en opgeslagen %temp%31558.txt, gebruikte de operator LODEINFO om de inloggegevens te exfiltreren.
De operator was ook geรฏnteresseerd in de browsercookies van het slachtoffer. MirrorStealer heeft echter niet de mogelijkheid om die te verzamelen. Daarom exfiltreerde de operator de cookies handmatig via LODEINFO. Eerst gebruikte de operator het LODEINFO-commando dir om de inhoud van de mappen weer te geven % LocalAppData% GoogleChromeGebruikersgegevens en %LocalAppData%MicrosoftEdgeGebruikersgegevens. Vervolgens kopieerde de operator alle geรฏdentificeerde cookiebestanden naar de % TEMP% map. Vervolgens exfiltreerde de operator alle verzamelde cookiebestanden met behulp van de opdracht LODEINFO recv. Ten slotte heeft de operator de gekopieerde cookiebestanden verwijderd uit de % TEMP% map in een poging de sporen te verwijderen.
Documenten en e-mail stelen
In de volgende stap exfiltreerde de operator verschillende soorten documenten en opgeslagen e-mails (zie afbeelding 9).
Daarvoor gebruikte de operator eerst LODEINFO om de WinRAR-archiver te leveren (rar.exe). Gebruik makend van rar.exe, heeft de operator interessante bestanden verzameld en gearchiveerd die na 2022-01-01 zijn gewijzigd uit de mappen %USERPROFILE% en C:$Recycle.Bin. De operator was geรฏnteresseerd in al die bestanden met de extensie .document*, .ppt*, .xls*, .jtd, .eml, .*xps en .pdf.
Merk op dat MirrorFace naast de gangbare documenttypes ook geรฏnteresseerd was in bestanden met de .jtd verlenging. Dit zijn documenten van de Japanse tekstverwerker Ichitaro ontwikkeld door JustSystems.
Nadat het archief was gemaakt, leverde de operator de Secure Copy Protocol (SCP)-client van de PuTTY na (pscp.exe) en gebruikte het vervolgens om het zojuist gemaakte RAR-archief te exfiltreren naar de server op 45.32.13[.]180. Dit IP-adres was niet waargenomen in eerdere MirrorFace-activiteit en was niet gebruikt als een C&C-server in LODEINFO-malware die we hebben waargenomen. Meteen nadat het archief was geรซxfiltreerd, heeft de operator het verwijderd rar.exe, pscp.exe, en het RAR-archief om de sporen van de activiteit op te ruimen.
Inzet van tweede trap LODEINFO
De laatste stap die we hebben waargenomen, was het afleveren van de tweede fase LODEINFO (zie figuur 10).
De operator leverde de volgende binaire bestanden: JSESPR.dll, JsSchHlp.exe en vcruntime140.dll naar de gecompromitteerde machine. Het origineel JsSchHlp.exe is een goedaardige applicatie ondertekend door JUSTSYSTEMS CORPORATION (makers van de eerder genoemde Japanse tekstverwerker, Ichitaro). In dit geval maakte de MirrorFace-operator echter misbruik van een bekende digitale handtekeningverificatie van Microsoft kwestie en voegde RC4-gecodeerde gegevens toe aan de JsSchHlp.exe digitale handtekening. Vanwege het genoemde probleem beschouwt Windows nog steeds het gewijzigde JsSchHlp.exe geldig ondertekend te zijn.
JsSchHlp.exe is ook vatbaar voor DLL side-loading. Daarom, bij executie, de geplant JSESPR.dll is geladen (zie afbeelding 11).
JSESPR.dll is een kwaadaardige loader die de toegevoegde payload leest van JsSchHlp.exe, decodeert het en voert het uit. De payload is de LODEINFO van de tweede fase, en eenmaal uitgevoerd, gebruikte de operator de reguliere LODEINFO om de persistentie voor de tweede fase in te stellen. Met name de telefoniste runde de reg.exe hulpprogramma om een โโwaarde met de naam toe te voegen JsSchHlp aan de lopen registersleutel met het pad naar JsSchHlp.exe.
Het lijkt ons echter dat de operator er niet in is geslaagd om de tweede trap LODEINFO goed te laten communiceren met de C&C-server. Daarom blijven verdere stappen van de operator die de tweede trap LODEINFO gebruikt onbekend voor ons.
Interessante observaties
Tijdens het onderzoek hebben we een aantal interessante observaties gedaan. Een daarvan is dat de operator enkele fouten en typefouten heeft gemaakt bij het geven van commando's aan LODEINFO. De operator heeft bijvoorbeeld de string verzonden cmd /c dir "c:gebruik" naar LODEINFO, wat waarschijnlijk de bedoeling was cmd /c dir "c:gebruikers".
Dit suggereert dat de operator handmatig of semi-handmatig commando's aan LODEINFO geeft.
Onze volgende observatie is dat hoewel de operator een paar opruimingen heeft uitgevoerd om sporen van het compromis te verwijderen, de operator vergat te verwijderen %temp%31558.txt โ het logboek met de gestolen inloggegevens. Dit spoor bleef dus in ieder geval achter op de gecompromitteerde machine en het laat ons zien dat de operator niet grondig was in het opruimproces.
Conclusie
MirrorFace blijft streven naar hoogwaardige doelen in Japan. In Operatie LiberalFace richtte het zich specifiek op politieke entiteiten die de toen aanstaande verkiezing van het Huis van Raadsleden in hun voordeel gebruikten. Interessanter is dat onze bevindingen aangeven dat MirrorFace zich met name richtte op de leden van een specifieke politieke partij.
Tijdens het onderzoek van Operatie LiberalFace zijn we erin geslaagd om meer MirrorFace TTP's aan het licht te brengen, zoals de inzet en het gebruik van aanvullende malware en tools om waardevolle gegevens van slachtoffers te verzamelen en te exfiltreren. Bovendien bleek uit ons onderzoek dat de MirrorFace-operators enigszins onvoorzichtig zijn, sporen achterlaten en verschillende fouten maken.
ESET Research biedt ook privรฉ APT-intelligentierapporten en datafeeds. Ga voor vragen over deze service naar de ESET-bedreigingsinformatie pagina.
IoC's
Bestanden
SHA-1 | Bestandsnaam | ESET-detectienaam | Omschrijving |
---|---|---|---|
F4691FF3B3ACD15653684F372285CAC36C8D0AEF | K7SysMn1.dll | Win32/Agent.ACLP | LODEINFO-lader. |
DB81C8719DDAAE40C8D9B9CA103BBE77BE4FCE6C | K7SysMon.Exe.db | NB | Versleutelde LODEINFO. |
A8D2BE15085061B753FDEBBDB08D301A034CE1D5 | JsSchHlp.exe | Win32/Agent.ACLP | JsSchHlp.exe met toegevoegde gecodeerde tweede trap LODEINFO in de beveiligingsmap. |
0AB7BB3FF583E50FBF28B288E71D3BB57F9D1395 | JSESPR.dll | Win32/Agent.ACLP | Tweede trap LODEINFO lader. |
E888A552B00D810B5521002304D4F11BC249D8ED | 31558_n.dll | Win32/Agent.ACLP | MirrorStealer-gegevensdiefstal. |
Netwerk
IP | leverancier | Eerst gezien | Details |
---|---|---|---|
5.8.95[.]174 | G-Core Labs SA | 2022-06-13 | LODEINFO C&C-server. |
45.32.13[.]180 | AS-CHOOPA | 2022-06-29 | Server voor data-exfiltratie. |
103.175.16[.]39 | Gigabit-hosting Sdn Bhd | 2022-06-13 | LODEINFO C&C-server. |
167.179.116[.]56 | AS-CHOOPA | 2021-10-20 | www.ninesmn[.]com, tweede trap LODEINFO C&C-server. |
172.105.217[.]233 | Linode, LLC | 2021-11-14 | www.aesorunwe[.]com, tweede trap LODEINFO C&C-server. |
MITRE ATT&CK-technieken
Deze tafel is gemaakt met behulp van versie 12 van het MITRE ATT&CK raamwerk.
Merk op dat hoewel deze blogpost geen volledig overzicht geeft van de LODEINFO-mogelijkheden omdat deze informatie al beschikbaar is in andere publicaties, de MITRE ATT&CK-tabel hieronder alle bijbehorende technieken bevat.
Tactiek | ID | Naam | Omschrijving |
---|---|---|---|
Eerste toegang | T1566.001 | Phishing: Spearphishing-bijlage | Een kwaadaardig WinRAR SFX-archief is toegevoegd aan een spearphishing-e-mail. |
Uitvoering | T1106 | Native API | LODEINFO kan bestanden uitvoeren met behulp van de CreateProcesA API. |
T1204.002 | Uitvoering door gebruiker: kwaadaardig bestand | MirrorFace-operators vertrouwen erop dat een slachtoffer een schadelijke bijlage opent die via e-mail is verzonden. | |
T1559.001 | Communicatie tussen processen: Component Object Model | LODEINFO kan opdrachten uitvoeren via Component Object Model. | |
Volharding | T1547.001 | Boot of Logon Autostart Uitvoering: Register Run Keys / Startup Folder | LODEINFO voegt een item toe aan het HKCU-run sleutel om doorzettingsvermogen te garanderen.
We zagen dat MirrorFace-operators handmatig een item toevoegden aan de HKCU-run sleutel om te zorgen voor persistentie voor de tweede fase LODEINFO. |
verdediging ontduiking | T1112 | Wijzig register | LODEINFO kan zijn configuratie opslaan in het register. |
T1055 | Procesinjectie | LODEINFO kan shellcode injecteren in cmd.exe. | |
T1140 | Deobfuscate/decodeer bestanden of informatie | LODEINFO loader decodeert een payload met behulp van een single-byte XOR of RC4. | |
T1574.002 | Uitvoeringsstroom kapen: DLL side-loading | MirrorFace laadt LODEINFO opzij door een schadelijke bibliotheek en een legitiem uitvoerbaar bestand (bijv. K7SysMon.exe). | |
De reis van mijn leven | T1082 | Ontdekking van systeeminformatie | LODEINFO neemt vingerafdrukken van de gecompromitteerde machine. |
T1083 | Bestands- en directorydetectie | LODEINFO kan bestands- en directorylijsten verkrijgen. | |
T1057 | Procesopsporing | LODEINFO kan lopende processen weergeven. | |
T1033 | Systeemeigenaar/gebruiker detectie | LODEINFO kan de gebruikersnaam van het slachtoffer achterhalen. | |
T1614.001 | Systeemlocatiedetectie: systeemtaaldetectie | LODEINFO controleert de systeemtaal om te verifiรซren dat deze niet draait op een machine die is ingesteld om de Engelse taal te gebruiken. | |
Collectie | T1560.001 | Verzamelde gegevens archiveren: archiveren via hulpprogramma | We zagen dat MirrorFace-operators de verzamelde gegevens archiveerden met behulp van de RAR-archiveringstool. |
T1114.001 | E-mailverzameling: lokale e-mailverzameling | We observeerden dat MirrorFace-operators opgeslagen e-mailberichten verzamelden. | |
T1056.001 | Invoer vastleggen: Keylogging | LODEINFO voert keylogging uit. | |
T1113 | Screen Capture | LODEINFO kan een screenshot verkrijgen. | |
T1005 | Gegevens van lokaal systeem | We observeerden MirrorFace-operators die interessante gegevens verzamelden en exfiltreerden. | |
Command and Control | T1071.001 | Applicatielaagprotocol: webprotocollen | LODEINFO gebruikt het HTTP-protocol om te communiceren met zijn C&C-server. |
T1132.001 | Gegevenscodering: standaardcodering | LODEINFO gebruikt URL-veilige base64 om zijn C&C-verkeer te coderen. | |
T1573.001 | Versleuteld kanaal: symmetrische cryptografie | LODEINFO gebruikt AES-256-CBC om C&C-verkeer te versleutelen. | |
T1001.001 | Gegevensverduistering: ongewenste gegevens | Tweede fase LODEINFO C&C voegt junk toe aan verzonden gegevens. | |
exfiltratie | T1041 | Exfiltratie via C2-kanaal | LODEINFO kan bestanden exfiltreren naar de C&C-server. |
T1071.002 | Applicatielaagprotocol: protocollen voor bestandsoverdracht | We observeerden dat MirrorFace Secure Copy Protocol (SCP) gebruikte om verzamelde gegevens te exfiltreren. | |
Impact | T1486 | Gegevens versleuteld voor impact | LODEINFO kan bestanden op de machine van het slachtoffer versleutelen. |
- blockchain
- vindingrijk
- cryptocurrency wallets
- cryptoexchange
- internetveiligheid
- cybercriminelen
- Cybersecurity
- Department of Homeland Security
- digitale portefeuilles
- ESET-onderzoek
- firewall
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Plato
- plato ai
- Plato gegevensintelligentie
- Plato-spel
- PlatoData
- platogamen
- VPN
- We leven veiligheid
- website veiligheid
- zephyrnet