Unmasking MirrorFace: Operasjon LiberalFace rettet mot japanske politiske enheter

ESET-forskere oppdaget en spearphishing-kampanje, lansert i ukene frem til Valg av japansk rådmann i juli 2022, av APT-gruppen som ESET Research sporer som MirrorFace. Kampanjen, som vi har kalt Operation LiberalFace, var rettet mot japanske politiske enheter; vår undersøkelse viste at medlemmene av et spesifikt politisk parti var spesielt fokus i denne kampanjen. ESET Research avslørte detaljer om denne kampanjen og APT-gruppen bak den på AVAR 2022-konferansen i begynnelsen av denne måneden.

MirrorFace er en kinesisktalende trusselaktør som retter seg mot selskaper og organisasjoner basert i Japan. Selv om det er noen spekulasjoner om at denne trusselaktøren kan være relatert til APT10 (Macnica, Kaspersky), ESET kan ikke tilskrive det til noen kjente APT-grupper. Derfor sporer vi det som en egen enhet som vi har kalt MirrorFace. Spesielt har MirrorFace og LODEINFO, deres proprietære skadevare brukt utelukkende mot mål i Japan, blitt rapportert som målrettet media, forsvarsrelaterte selskaper, tenketanker, diplomatiske organisasjoner og akademiske institusjoner. Målet med MirrorFace er spionasje og eksfiltrering av filer av interesse.

Vi tilskriver Operasjon LiberalFace til MirrorFace basert på disse indikatorene:

• Så vidt vi vet, brukes LODEINFO malware eksklusivt av MirrorFace.
• Målene for Operation LiberalFace stemmer overens med tradisjonell MirrorFace-målretting.
• Et andre trinn LODEINFO-malwareprøve tok kontakt med en C&C-server som vi sporer internt som en del av MirrorFace-infrastrukturen.

En av spearphishing-e-postene som ble sendt i Operasjon LiberalFace, utgjorde en offisiell kommunikasjon fra PR-avdelingen til et spesifikt japansk politisk parti, som inneholdt en forespørsel knyttet til valget til House of Councilors, og ble angivelig sendt på vegne av en fremtredende politiker. Alle spearphishing-e-poster inneholdt et ondsinnet vedlegg som ved utførelse distribuerte LODEINFO på den kompromitterte maskinen.

I tillegg oppdaget vi at MirrorFace har brukt tidligere udokumentert skadelig programvare, som vi har kalt MirrorStealer, for å stjele legitimasjonen til målet. Vi tror dette er første gang denne skadelige programvaren er blitt offentlig beskrevet.

I dette blogginnlegget dekker vi de observerte aktivitetene etter kompromiss, inkludert C&C-kommandoene sendt til LODEINFO for å utføre handlingene. Basert på visse aktiviteter utført på den berørte maskinen, tror vi at MirrorFace-operatøren ga kommandoer til LODEINFO på en manuell eller semi-manuell måte.

Innledende tilgang

MirrorFace startet angrepet 29. juni^th, 2022, distributing spearphishing emails with a malicious attachment to the targets. The subject of the email was SNS用動画 拡散のお願い (oversettelse fra Google Translate: [Important] Request for spreading videos for SNS). Figur 1 og figur 2 viser innholdet.

Figur 2. Oversatt versjon

Med påstått å være et japansk politisk partis PR-avdeling, ba MirrorFace mottakerne distribuere de vedlagte videoene på sine egne sosiale medieprofiler (SNS – Social Network Service) for å styrke partiets PR ytterligere og sikre seier i House of Councillors. Videre gir e-posten klare instruksjoner om videoenes publiseringsstrategi.

Siden House of Councilors-valget ble holdt 10. juli^th, 2022, indikerer denne e-posten tydelig at MirrorFace søkte muligheten til å angripe politiske enheter. Spesifikt innhold i e-posten indikerer også at medlemmer av et bestemt politisk parti ble målrettet.

MirrorFace brukte også en annen spearphishing-e-post i kampanjen, der vedlegget hadde tittelen 【参考】220628発・選挙管理委員会宛文書（添書分）.exe (oversettelse fra Google Translate: [Reference] 220628 Documents from the Ministry of to election administration committee (appendix).exe). Det vedlagte lokkedokumentet (vist i figur 3) refererer også til House of Councilors-valget.

Figur 3. Lokkedokument vist til målet

In both cases, the emails contained malicious attachments in the form of self-extracting WinRAR archives with deceptive names SNS用動画 拡散のお願い.exe (oversettelse fra Google Translate: Forespørsel om spredning av videoer for SNS.exe) og 【参考】220628発・選挙管理委員会宛文書（添書分）.exe (oversettelse fra Google Translate: [Reference] 220628 Documents from the Ministry of to election administration committee (appendix).exe) henholdsvis.

Disse EXE-ene trekker ut det arkiverte innholdet i % TEMP% mappe. Spesielt fire filer pakkes ut:

• K7SysMon.exe, en godartet applikasjon utviklet av K7 Computing Pvt Ltd sårbar for DLL-søkeordrekapring
• K7SysMn1.dll, en ondsinnet laster
• K7SysMon.Exe.db, kryptert LODEINFO malware
• Et lokkedokument

Deretter åpnes lokkedokumentet for å lure målet og fremstå som godartet. Som siste trinn, K7SysMon.exe kjøres som laster den ondsinnede lasteren K7SysMn1.dll falt ved siden av den. Til slutt leser lasteren innholdet i K7SysMon.Exe.db, dekrypterer den og kjører den. Merk at denne tilnærmingen også ble observert av Kaspersky og beskrevet i deres rapporterer.

verktøysett

I denne delen beskriver vi skadelig programvare MirrorFace som brukes i Operasjon LiberalFace.

LODEINFO

LODEINFO er en MirrorFace-bakdør som er under kontinuerlig utvikling. JPCERT rapporterte om den første versjonen av LODEINFO (v0.1.2), som dukket opp rundt desember 2019; funksjonaliteten gjør det mulig å ta skjermbilder, tastelogging, drepe prosesser, eksfiltrere filer og utføre tilleggsfiler og kommandoer. Siden den gang har vi observert flere endringer introdusert for hver av versjonene. For eksempel, versjon 0.3.8 (som vi først oppdaget i juni 2020) la til kommandoen løsepenge (som krypterer definerte filer og mapper), og versjon 0.5.6 (som vi oppdaget i juli 2021) la til kommandoen config, som lar operatører endre konfigurasjonen som er lagret i registeret. I tillegg til JPCERT-rapporteringen nevnt ovenfor, ble også en detaljert analyse av LODEINFO-bakdøren publisert tidligere i år av Kaspersky.

I Operasjon LiberalFace observerte vi MirrorFace-operatører som brukte både den vanlige LODEINFO og det vi kaller andre-trinns LODEINFO malware. Det andre trinnet LODEINFO kan skilles fra det vanlige LODEINFO ved å se på den generelle funksjonaliteten. Spesielt aksepterer andre trinn LODEINFO og kjører PE-binærfiler og skallkode utenfor de implementerte kommandoene. Videre kan andre trinn LODEINFO behandle C&C-kommandoen config, men funksjonaliteten for kommandoen løsepenger mangler.

Til slutt er dataene mottatt fra C&C-serveren forskjellig mellom den vanlige LODEINFO og den andre trinn. For andre trinn LODEINFO legger C&C-serveren tilfeldig nettsideinnhold foran de faktiske dataene. Se figur 4, figur 5 og figur 6 som viser den mottatte dataforskjellen. Legg merke til at kodebiten på forhånd er forskjellig for hver mottatte datastrøm fra andre trinn C&C.

Figur 4. Data mottatt fra første trinn LODEINFO C&C

Figur 5. Data mottatt fra andre trinn C&C

Figur 6. En annen datastrøm mottatt fra andre trinn C&C

MirrorStealer

MirrorStealer, internt navngitt 31558_n.dll av MirrorFace, er en legitimasjonstyver. Så vidt vi vet, har ikke denne skadelige programvaren blitt offentlig beskrevet. Generelt stjeler MirrorStealer legitimasjon fra ulike applikasjoner som nettlesere og e-postklienter. Interessant nok er en av de målrettede applikasjonene Becky!, en e-postklient som foreløpig bare er tilgjengelig i Japan. Alle de stjålne legitimasjonene er lagret i %TEMP%31558.txt og siden MirrorStealer ikke har evnen til å eksfiltrere de stjålne dataene, er det avhengig av annen skadelig programvare for å gjøre det.

Aktiviteter etter kompromiss

Under forskningen vår var vi i stand til å observere noen av kommandoene som ble gitt til kompromitterte datamaskiner.

Innledende miljøobservasjon

Når LODEINFO ble lansert på de kompromitterte maskinene og de hadde koblet seg til C&C-serveren, begynte en operatør å utstede kommandoer (se figur 7).

Figur 7. Innledende miljøobservasjon av MirrorFace-operatøren via LODEINFO

Først utstedte operatøren en av LODEINFO-kommandoene, skrive ut, for å fange skjermen til den kompromitterte maskinen. Dette ble fulgt av en annen kommando, ls, for å se innholdet i gjeldende mappe der LODEINFO lå (dvs. % TEMP%). Rett etter det brukte operatøren LODEINFO for å få nettverksinformasjon ved å kjøre nettvisning og net view /domene. Den første kommandoen returnerer listen over datamaskiner som er koblet til nettverket, mens den andre returnerer listen over tilgjengelige domener.

Stjeling av legitimasjon og nettleserinformasjonskapsler

Etter å ha samlet inn denne grunnleggende informasjonen, gikk operatøren til neste fase (se figur 8).

Figur 8. Flyt av instruksjoner sendt til LODEINFO for å distribuere legitimasjonstyver, samle inn legitimasjon og nettleserinformasjonskapsler og eksfiltrere dem til C&C-serveren

Operatøren utstedte LODEINFO-kommandoen send med underkommandoen -hukommelse å levere MirrorStealer skadelig programvare til den kompromitterte maskinen. Underkommandoen -hukommelse ble brukt til å indikere til LODEINFO å beholde MirrorStealer i minnet, noe som betyr at MirrorStealer-binæren aldri ble sluppet på disken. Deretter kommandoen minne ble utstedt. Denne kommandoen instruerte LODEINFO om å ta MirrorStealer, injisere den inn i spawned cmd.exe prosess og kjøre den.

En gang hadde MirrorStealer samlet inn legitimasjonen og lagret dem i %temp%31558.txt, brukte operatøren LODEINFO for å eksfiltrere legitimasjonen.

Operatøren var også interessert i offerets nettleserinformasjonskapsler. MirrorStealer har imidlertid ikke muligheten til å samle disse. Derfor eksfiltrerte operatøren informasjonskapslene manuelt via LODEINFO. Først brukte operatøren LODEINFO-kommandoen dir for å vise innholdet i mappene % LocalAppData% GoogleChrome-brukerdata og %LocalAppData%MicrosoftEdgeUser Data. Deretter kopierte operatøren alle de identifiserte informasjonskapselfilene inn i % TEMP% mappe. Deretter eksfiltrerte operatøren alle de innsamlede informasjonskapselfilene ved å bruke LODEINFO-kommandoen rekv. Til slutt slettet operatøren de kopierte informasjonskapselfilene fra % TEMP% mappe i et forsøk på å fjerne sporene.

Dokument- og e-posttyveri

I neste trinn eksfiltrerte operatøren dokumenter av ulike slag samt lagrede e-poster (se figur 9).

Figur 9. Flyt av instruksjonene sendt til LODEINFO for å eksfiltrere filer av interesse

For det brukte operatøren først LODEINFO for å levere WinRAR-arkiver (rar.exe). Ved hjelp av rar.exe, operatøren samlet inn og arkiverte filer av interesse som ble endret etter 2022-01-01 fra mappene %USERPROFILE% og C:$Recycle.Bin. Operatøren var interessert i alle slike filer med utvidelsene.doc*, .ppt*, .xls*, .jtd, EML, .*xpsog . Pdf.

Legg merke til at i tillegg til de vanlige dokumenttypene, var MirrorFace også interessert i filer med .jtd Utvidelse. Dette representerer dokumenter fra den japanske tekstbehandleren Ichitaro utviklet av JustSystems.

Når arkivet ble opprettet, leverte operatøren Secure Copy Protocol (SCP)-klienten fra PuTTY fortsatte (pscp.exe) og brukte det deretter til å eksfiltrere det nettopp opprettede RAR-arkivet til serveren på 45.32.13[.]180. Denne IP-adressen hadde ikke blitt observert i tidligere MirrorFace-aktivitet og hadde ikke blitt brukt som en C&C-server i noen LODEINFO-malware som vi har observert. Rett etter at arkivet ble eksfiltrert, slettet operatøren rar.exe, pscp.exe, og RAR-arkivet for å rydde opp i sporene etter aktiviteten.

Utplassering av andre trinn LODEINFO

Det siste trinnet vi observerte var å levere andre trinn LODEINFO (se figur 10).

Figur 10. Flyt av instruksjoner sendt til LODEINFO for å distribuere andre trinn LODEINFO

Operatøren leverte følgende binære filer: JSESPR.dll, JsSchHlp.exeog vcruntime140. dll til den kompromitterte maskinen. Den opprinnelige JsSchHlp.exe er en godartet applikasjon signert av JUSTSYSTEMS CORPORATION (produsenter av den tidligere nevnte japanske tekstbehandleren, Ichitaro). I dette tilfellet misbrukte imidlertid MirrorFace-operatøren en kjent verifisering av digital signatur fra Microsoft utstedelse og lagt til RC4-krypterte data til JsSchHlp.exe digital signatur. På grunn av det nevnte problemet vurderer Windows fortsatt den modifiserte JsSchHlp.exe å være gyldig signert.

JsSchHlp.exe er også mottakelig for DLL-sidelasting. Derfor, ved utførelse, plantet JSESPR.dll er lastet (se figur 11).

Figur 11. Utførelsesflyt av andre trinn LODEINFO

JSESPR.dll er en ondsinnet laster som leser den vedlagte nyttelasten fra JsSchHlp.exe, dekrypterer den og kjører den. Nyttelasten er andre trinns LODEINFO, og når den var i gang, brukte operatøren den vanlige LODEINFO for å angi utholdenhet for andre trinn. Spesielt drev operatøren reg.exe verktøy for å legge til en navngitt verdi JsSchHlp til Kjør registernøkkel som holder banen til JsSchHlp.exe.

Det ser imidlertid ut til at operatøren ikke klarte å få andre trinn LODEINFO til å kommunisere riktig med C&C-serveren. Derfor forblir eventuelle ytterligere trinn fra operatøren som bruker andre trinns LODEINFO ukjent for oss.

Interessante observasjoner

Under etterforskningen gjorde vi noen interessante observasjoner. En av dem er at operatøren gjorde noen få feil og skrivefeil da han sendte kommandoer til LODEINFO. Operatøren sendte for eksempel strengen cmd /c dir "c:use" til LODEINFO, som mest sannsynlig skulle være cmd /c dir "c:users".

Dette antyder at operatøren gir kommandoer til LODEINFO på en manuell eller semi-manuell måte.

Vår neste observasjon er at selv om operatøren utførte noen få oppryddinger for å fjerne spor etter kompromisset, glemte operatøren å slette %temp%31558.txt – loggen som inneholder den stjålne legitimasjonen. Dermed forble i det minste dette sporet på den kompromitterte maskinen, og det viser oss at operatøren ikke var grundig i oppryddingsprosessen.

konklusjonen

MirrorFace fortsetter å sikte mot mål med høy verdi i Japan. I Operation LiberalFace rettet den seg spesifikt mot politiske enheter ved å bruke det da kommende valget til House of Councilors til sin fordel. Mer interessant, funnene våre indikerer at MirrorFace spesielt fokuserte på medlemmene av et spesifikt politisk parti.

Under Operation LiberalFace-etterforskningen klarte vi å avdekke ytterligere MirrorFace TTP-er, for eksempel distribusjon og bruk av ytterligere skadelig programvare og verktøy for å samle inn og eksfiltrere verdifulle data fra ofre. Videre avslørte vår undersøkelse at MirrorFace-operatørene er noe uforsiktige, etterlater spor og gjør forskjellige feil.

IoCs

Filer

Network

MITRE ATT&CK-teknikker

Dette bordet ble bygget vha versjon 12 av MITRE ATT&CK-rammeverket.

Merk at selv om dette blogginnlegget ikke gir en fullstendig oversikt over LODEINFO-funksjoner fordi denne informasjonen allerede er tilgjengelig i andre publikasjoner, inneholder MITER ATT&CK-tabellen nedenfor alle teknikkene som er knyttet til den.