ESET-forskere oppdaget en spearphishing-kampanje rettet mot japanske politiske enheter noen uker før valget til House of Councilors, og i prosessen avdekket en tidligere ubeskrevet MirrorFace-legitimasjonstyver
ESET-forskere oppdaget en spearphishing-kampanje, lansert i ukene frem til Valg av japansk rådmann i juli 2022, av APT-gruppen som ESET Research sporer som MirrorFace. Kampanjen, som vi har kalt Operation LiberalFace, var rettet mot japanske politiske enheter; vår undersøkelse viste at medlemmene av et spesifikt politisk parti var spesielt fokus i denne kampanjen. ESET Research avslørte detaljer om denne kampanjen og APT-gruppen bak den på AVAR 2022-konferansen i begynnelsen av denne måneden.
- I slutten av juni 2022 lanserte MirrorFace en kampanje, som vi har kalt Operation LiberalFace, som var rettet mot japanske politiske enheter.
- Spearphishing-e-postmeldinger som inneholder gruppens flaggskip bakdør LODEINFO ble sendt til målene.
- LODEINFO ble brukt til å levere ytterligere skadelig programvare, eksfiltrere offerets legitimasjon og stjele offerets dokumenter og e-poster.
- En tidligere ubeskrevet legitimasjonstyver vi har kalt MirrorStealer ble brukt i Operasjon LiberalFace.
- ESET Research utførte en analyse av aktivitetene etter kompromiss, som antyder at de observerte handlingene ble utført på en manuell eller semi-manuell måte.
- Detaljer om denne kampanjen ble delt på AVAR 2022-konferansen.
MirrorFace er en kinesisktalende trusselaktør som retter seg mot selskaper og organisasjoner basert i Japan. Selv om det er noen spekulasjoner om at denne trusselaktøren kan være relatert til APT10 (Macnica, Kaspersky), ESET kan ikke tilskrive det til noen kjente APT-grupper. Derfor sporer vi det som en egen enhet som vi har kalt MirrorFace. Spesielt har MirrorFace og LODEINFO, deres proprietære skadevare brukt utelukkende mot mål i Japan, blitt rapportert som målrettet media, forsvarsrelaterte selskaper, tenketanker, diplomatiske organisasjoner og akademiske institusjoner. Målet med MirrorFace er spionasje og eksfiltrering av filer av interesse.
Vi tilskriver Operasjon LiberalFace til MirrorFace basert på disse indikatorene:
- Så vidt vi vet, brukes LODEINFO malware eksklusivt av MirrorFace.
- Målene for Operation LiberalFace stemmer overens med tradisjonell MirrorFace-målretting.
- Et andre trinn LODEINFO-malwareprøve tok kontakt med en C&C-server som vi sporer internt som en del av MirrorFace-infrastrukturen.
En av spearphishing-e-postene som ble sendt i Operasjon LiberalFace, utgjorde en offisiell kommunikasjon fra PR-avdelingen til et spesifikt japansk politisk parti, som inneholdt en forespørsel knyttet til valget til House of Councilors, og ble angivelig sendt på vegne av en fremtredende politiker. Alle spearphishing-e-poster inneholdt et ondsinnet vedlegg som ved utførelse distribuerte LODEINFO på den kompromitterte maskinen.
I tillegg oppdaget vi at MirrorFace har brukt tidligere udokumentert skadelig programvare, som vi har kalt MirrorStealer, for å stjele legitimasjonen til målet. Vi tror dette er første gang denne skadelige programvaren er blitt offentlig beskrevet.
I dette blogginnlegget dekker vi de observerte aktivitetene etter kompromiss, inkludert C&C-kommandoene sendt til LODEINFO for å utføre handlingene. Basert på visse aktiviteter utført på den berørte maskinen, tror vi at MirrorFace-operatøren ga kommandoer til LODEINFO på en manuell eller semi-manuell måte.
Innledende tilgang
MirrorFace startet angrepet 29. junith, 2022, distributing spearphishing emails with a malicious attachment to the targets. The subject of the email was SNS用動画 拡散のお願い (oversettelse fra Google Translate: [Important] Request for spreading videos for SNS). Figur 1 og figur 2 viser innholdet.
Med påstått å være et japansk politisk partis PR-avdeling, ba MirrorFace mottakerne distribuere de vedlagte videoene på sine egne sosiale medieprofiler (SNS – Social Network Service) for å styrke partiets PR ytterligere og sikre seier i House of Councillors. Videre gir e-posten klare instruksjoner om videoenes publiseringsstrategi.
Siden House of Councilors-valget ble holdt 10. julith, 2022, indikerer denne e-posten tydelig at MirrorFace søkte muligheten til å angripe politiske enheter. Spesifikt innhold i e-posten indikerer også at medlemmer av et bestemt politisk parti ble målrettet.
MirrorFace brukte også en annen spearphishing-e-post i kampanjen, der vedlegget hadde tittelen 【参考】220628発・選挙管理委員会宛文書(添書分).exe (oversettelse fra Google Translate: [Reference] 220628 Documents from the Ministry of to election administration committee (appendix).exe). Det vedlagte lokkedokumentet (vist i figur 3) refererer også til House of Councilors-valget.
In both cases, the emails contained malicious attachments in the form of self-extracting WinRAR archives with deceptive names SNS用動画 拡散のお願い.exe (oversettelse fra Google Translate: Forespørsel om spredning av videoer for SNS.exe) og 【参考】220628発・選挙管理委員会宛文書(添書分).exe (oversettelse fra Google Translate: [Reference] 220628 Documents from the Ministry of to election administration committee (appendix).exe) henholdsvis.
Disse EXE-ene trekker ut det arkiverte innholdet i % TEMP% mappe. Spesielt fire filer pakkes ut:
- K7SysMon.exe, en godartet applikasjon utviklet av K7 Computing Pvt Ltd sårbar for DLL-søkeordrekapring
- K7SysMn1.dll, en ondsinnet laster
- K7SysMon.Exe.db, kryptert LODEINFO malware
- Et lokkedokument
Deretter åpnes lokkedokumentet for å lure målet og fremstå som godartet. Som siste trinn, K7SysMon.exe kjøres som laster den ondsinnede lasteren K7SysMn1.dll falt ved siden av den. Til slutt leser lasteren innholdet i K7SysMon.Exe.db, dekrypterer den og kjører den. Merk at denne tilnærmingen også ble observert av Kaspersky og beskrevet i deres rapporterer.
verktøysett
I denne delen beskriver vi skadelig programvare MirrorFace som brukes i Operasjon LiberalFace.
LODEINFO
LODEINFO er en MirrorFace-bakdør som er under kontinuerlig utvikling. JPCERT rapporterte om den første versjonen av LODEINFO (v0.1.2), som dukket opp rundt desember 2019; funksjonaliteten gjør det mulig å ta skjermbilder, tastelogging, drepe prosesser, eksfiltrere filer og utføre tilleggsfiler og kommandoer. Siden den gang har vi observert flere endringer introdusert for hver av versjonene. For eksempel, versjon 0.3.8 (som vi først oppdaget i juni 2020) la til kommandoen løsepenge (som krypterer definerte filer og mapper), og versjon 0.5.6 (som vi oppdaget i juli 2021) la til kommandoen config, som lar operatører endre konfigurasjonen som er lagret i registeret. I tillegg til JPCERT-rapporteringen nevnt ovenfor, ble også en detaljert analyse av LODEINFO-bakdøren publisert tidligere i år av Kaspersky.
I Operasjon LiberalFace observerte vi MirrorFace-operatører som brukte både den vanlige LODEINFO og det vi kaller andre-trinns LODEINFO malware. Det andre trinnet LODEINFO kan skilles fra det vanlige LODEINFO ved å se på den generelle funksjonaliteten. Spesielt aksepterer andre trinn LODEINFO og kjører PE-binærfiler og skallkode utenfor de implementerte kommandoene. Videre kan andre trinn LODEINFO behandle C&C-kommandoen config, men funksjonaliteten for kommandoen løsepenger mangler.
Til slutt er dataene mottatt fra C&C-serveren forskjellig mellom den vanlige LODEINFO og den andre trinn. For andre trinn LODEINFO legger C&C-serveren tilfeldig nettsideinnhold foran de faktiske dataene. Se figur 4, figur 5 og figur 6 som viser den mottatte dataforskjellen. Legg merke til at kodebiten på forhånd er forskjellig for hver mottatte datastrøm fra andre trinn C&C.
MirrorStealer
MirrorStealer, internt navngitt 31558_n.dll av MirrorFace, er en legitimasjonstyver. Så vidt vi vet, har ikke denne skadelige programvaren blitt offentlig beskrevet. Generelt stjeler MirrorStealer legitimasjon fra ulike applikasjoner som nettlesere og e-postklienter. Interessant nok er en av de målrettede applikasjonene Becky!, en e-postklient som foreløpig bare er tilgjengelig i Japan. Alle de stjålne legitimasjonene er lagret i %TEMP%31558.txt og siden MirrorStealer ikke har evnen til å eksfiltrere de stjålne dataene, er det avhengig av annen skadelig programvare for å gjøre det.
Aktiviteter etter kompromiss
Under forskningen vår var vi i stand til å observere noen av kommandoene som ble gitt til kompromitterte datamaskiner.
Innledende miljøobservasjon
Når LODEINFO ble lansert på de kompromitterte maskinene og de hadde koblet seg til C&C-serveren, begynte en operatør å utstede kommandoer (se figur 7).
Først utstedte operatøren en av LODEINFO-kommandoene, skrive ut, for å fange skjermen til den kompromitterte maskinen. Dette ble fulgt av en annen kommando, ls, for å se innholdet i gjeldende mappe der LODEINFO lå (dvs. % TEMP%). Rett etter det brukte operatøren LODEINFO for å få nettverksinformasjon ved å kjøre nettvisning og net view /domene. Den første kommandoen returnerer listen over datamaskiner som er koblet til nettverket, mens den andre returnerer listen over tilgjengelige domener.
Stjeling av legitimasjon og nettleserinformasjonskapsler
Etter å ha samlet inn denne grunnleggende informasjonen, gikk operatøren til neste fase (se figur 8).
Operatøren utstedte LODEINFO-kommandoen send med underkommandoen -hukommelse å levere MirrorStealer skadelig programvare til den kompromitterte maskinen. Underkommandoen -hukommelse ble brukt til å indikere til LODEINFO å beholde MirrorStealer i minnet, noe som betyr at MirrorStealer-binæren aldri ble sluppet på disken. Deretter kommandoen minne ble utstedt. Denne kommandoen instruerte LODEINFO om å ta MirrorStealer, injisere den inn i spawned cmd.exe prosess og kjøre den.
En gang hadde MirrorStealer samlet inn legitimasjonen og lagret dem i %temp%31558.txt, brukte operatøren LODEINFO for å eksfiltrere legitimasjonen.
Operatøren var også interessert i offerets nettleserinformasjonskapsler. MirrorStealer har imidlertid ikke muligheten til å samle disse. Derfor eksfiltrerte operatøren informasjonskapslene manuelt via LODEINFO. Først brukte operatøren LODEINFO-kommandoen dir for å vise innholdet i mappene % LocalAppData% GoogleChrome-brukerdata og %LocalAppData%MicrosoftEdgeUser Data. Deretter kopierte operatøren alle de identifiserte informasjonskapselfilene inn i % TEMP% mappe. Deretter eksfiltrerte operatøren alle de innsamlede informasjonskapselfilene ved å bruke LODEINFO-kommandoen rekv. Til slutt slettet operatøren de kopierte informasjonskapselfilene fra % TEMP% mappe i et forsøk på å fjerne sporene.
Dokument- og e-posttyveri
I neste trinn eksfiltrerte operatøren dokumenter av ulike slag samt lagrede e-poster (se figur 9).
For det brukte operatøren først LODEINFO for å levere WinRAR-arkiver (rar.exe). Ved hjelp av rar.exe, operatøren samlet inn og arkiverte filer av interesse som ble endret etter 2022-01-01 fra mappene %USERPROFILE% og C:$Recycle.Bin. Operatøren var interessert i alle slike filer med utvidelsene.doc*, .ppt*, .xls*, .jtd, EML, .*xpsog . Pdf.
Legg merke til at i tillegg til de vanlige dokumenttypene, var MirrorFace også interessert i filer med .jtd Utvidelse. Dette representerer dokumenter fra den japanske tekstbehandleren Ichitaro utviklet av JustSystems.
Når arkivet ble opprettet, leverte operatøren Secure Copy Protocol (SCP)-klienten fra PuTTY fortsatte (pscp.exe) og brukte det deretter til å eksfiltrere det nettopp opprettede RAR-arkivet til serveren på 45.32.13[.]180. Denne IP-adressen hadde ikke blitt observert i tidligere MirrorFace-aktivitet og hadde ikke blitt brukt som en C&C-server i noen LODEINFO-malware som vi har observert. Rett etter at arkivet ble eksfiltrert, slettet operatøren rar.exe, pscp.exe, og RAR-arkivet for å rydde opp i sporene etter aktiviteten.
Utplassering av andre trinn LODEINFO
Det siste trinnet vi observerte var å levere andre trinn LODEINFO (se figur 10).
Operatøren leverte følgende binære filer: JSESPR.dll, JsSchHlp.exeog vcruntime140. dll til den kompromitterte maskinen. Den opprinnelige JsSchHlp.exe er en godartet applikasjon signert av JUSTSYSTEMS CORPORATION (produsenter av den tidligere nevnte japanske tekstbehandleren, Ichitaro). I dette tilfellet misbrukte imidlertid MirrorFace-operatøren en kjent verifisering av digital signatur fra Microsoft utstedelse og lagt til RC4-krypterte data til JsSchHlp.exe digital signatur. På grunn av det nevnte problemet vurderer Windows fortsatt den modifiserte JsSchHlp.exe å være gyldig signert.
JsSchHlp.exe er også mottakelig for DLL-sidelasting. Derfor, ved utførelse, plantet JSESPR.dll er lastet (se figur 11).
JSESPR.dll er en ondsinnet laster som leser den vedlagte nyttelasten fra JsSchHlp.exe, dekrypterer den og kjører den. Nyttelasten er andre trinns LODEINFO, og når den var i gang, brukte operatøren den vanlige LODEINFO for å angi utholdenhet for andre trinn. Spesielt drev operatøren reg.exe verktøy for å legge til en navngitt verdi JsSchHlp til Kjør registernøkkel som holder banen til JsSchHlp.exe.
Det ser imidlertid ut til at operatøren ikke klarte å få andre trinn LODEINFO til å kommunisere riktig med C&C-serveren. Derfor forblir eventuelle ytterligere trinn fra operatøren som bruker andre trinns LODEINFO ukjent for oss.
Interessante observasjoner
Under etterforskningen gjorde vi noen interessante observasjoner. En av dem er at operatøren gjorde noen få feil og skrivefeil da han sendte kommandoer til LODEINFO. Operatøren sendte for eksempel strengen cmd /c dir "c:use" til LODEINFO, som mest sannsynlig skulle være cmd /c dir "c:users".
Dette antyder at operatøren gir kommandoer til LODEINFO på en manuell eller semi-manuell måte.
Vår neste observasjon er at selv om operatøren utførte noen få oppryddinger for å fjerne spor etter kompromisset, glemte operatøren å slette %temp%31558.txt – loggen som inneholder den stjålne legitimasjonen. Dermed forble i det minste dette sporet på den kompromitterte maskinen, og det viser oss at operatøren ikke var grundig i oppryddingsprosessen.
konklusjonen
MirrorFace fortsetter å sikte mot mål med høy verdi i Japan. I Operation LiberalFace rettet den seg spesifikt mot politiske enheter ved å bruke det da kommende valget til House of Councilors til sin fordel. Mer interessant, funnene våre indikerer at MirrorFace spesielt fokuserte på medlemmene av et spesifikt politisk parti.
Under Operation LiberalFace-etterforskningen klarte vi å avdekke ytterligere MirrorFace TTP-er, for eksempel distribusjon og bruk av ytterligere skadelig programvare og verktøy for å samle inn og eksfiltrere verdifulle data fra ofre. Videre avslørte vår undersøkelse at MirrorFace-operatørene er noe uforsiktige, etterlater spor og gjør forskjellige feil.
ESET Research tilbyr også private APT-etterretningsrapporter og datastrømmer. For eventuelle spørsmål om denne tjenesten, besøk ESET Threat Intelligence side.
IoCs
Filer
SHA-1 | filnavn | ESET-deteksjonsnavn | Beskrivelse |
---|---|---|---|
F4691FF3B3ACD15653684F372285CAC36C8D0AEF | K7SysMn1.dll | Win32/Agent.ACLP | LODEINFO laster. |
DB81C8719DDAAE40C8D9B9CA103BBE77BE4FCE6C | K7SysMon.Exe.db | N / A | Kryptert LODEINFO. |
A8D2BE15085061B753FDEBBDB08D301A034CE1D5 | JsSchHlp.exe | Win32/Agent.ACLP | JsSchHlp.exe med vedlagt kryptert andre trinn LODEINFO i sikkerhetskatalog. |
0AB7BB3FF583E50FBF28B288E71D3BB57F9D1395 | JSESPR.dll | Win32/Agent.ACLP | Andretrinns LODEINFO-laster. |
E888A552B00D810B5521002304D4F11BC249D8ED | 31558_n.dll | Win32/Agent.ACLP | MirrorStealer legitimasjonstyver. |
Network
IP | Provider | Først sett | Detaljer |
---|---|---|---|
5.8.95[.]174 | G-Core Labs SA | 2022-06-13 | LODEINFO C&C server. |
45.32.13[.]180 | AS-CHOOPA | 2022-06-29 | Server for dataeksfiltrering. |
103.175.16[.]39 | Gigabit Hosting Sdn Bhd | 2022-06-13 | LODEINFO C&C server. |
167.179.116[.]56 | AS-CHOOPA | 2021-10-20 | www.ninesmn[.]com, andre trinn LODEINFO C&C-server. |
172.105.217[.]233 | Linode, LLC | 2021-11-14 | www.aesorunwe[.]com, andre trinn LODEINFO C&C-server. |
MITRE ATT&CK-teknikker
Dette bordet ble bygget vha versjon 12 av MITRE ATT&CK-rammeverket.
Merk at selv om dette blogginnlegget ikke gir en fullstendig oversikt over LODEINFO-funksjoner fordi denne informasjonen allerede er tilgjengelig i andre publikasjoner, inneholder MITER ATT&CK-tabellen nedenfor alle teknikkene som er knyttet til den.
taktikk | ID | Navn | Beskrivelse |
---|---|---|---|
Innledende tilgang | T1566.001 | Phishing: Spearphishing-vedlegg | Et ondsinnet WinRAR SFX-arkiv er vedlagt en spearphishing-e-post. |
Gjennomføring | T1106 | Innfødt API | LODEINFO kan kjøre filer ved hjelp av Opprett prosessA API. |
T1204.002 | Brukerutførelse: Skadelig fil | MirrorFace-operatører er avhengige av at et offer åpner et ondsinnet vedlegg sendt via e-post. | |
T1559.001 | Kommunikasjon mellom prosesser: Komponentobjektmodell | LODEINFO kan utføre kommandoer via Component Object Model. | |
Utholdenhet | T1547.001 | Oppstart eller pålogging Autostartutførelse: Registry Run Keys / Oppstartsmappe | LODEINFO legger til en oppføring i HKCU løp nøkkel for å sikre utholdenhet.
Vi observerte MirrorFace-operatører som manuelt la til en oppføring i HKCU løp nøkkel for å sikre utholdenhet for andre trinn LODEINFO. |
Forsvarsunndragelse | T1112 | Endre registret | LODEINFO kan lagre konfigurasjonen i registeret. |
T1055 | Prosess injeksjon | LODEINFO kan injisere skallkode i cmd.exe. | |
T1140 | Deobfuscate / Decode filer eller informasjon | LODEINFO-lasteren dekrypterer en nyttelast ved å bruke en enkeltbyte XOR eller RC4. | |
T1574.002 | Kapringsutførelsesflyt: DLL-sidelasting | MirrorFace sidelaster LODEINFO ved å slippe et ondsinnet bibliotek og en legitim kjørbar fil (f.eks. K7SysMon.exe). | |
Discovery | T1082 | Oppdagelse av systeminformasjon | LODEINFO tar fingeravtrykk av den kompromitterte maskinen. |
T1083 | Fil- og katalogoppdagelse | LODEINFO kan få fil- og katalogoppføringer. | |
T1057 | Prosessoppdagelse | LODEINFO kan liste kjørende prosesser. | |
T1033 | Systemeier/brukeroppdagelse | LODEINFO kan få offerets brukernavn. | |
T1614.001 | System Location Discovery: System Language Discovery | LODEINFO sjekker systemspråket for å bekrefte at det ikke kjører på en maskin som er satt til å bruke engelsk. | |
Samling | T1560.001 | Arkiver innsamlede data: Arkiver via Utility | Vi observerte MirrorFace-operatører som arkiverte innsamlede data ved hjelp av RAR-arkiver. |
T1114.001 | E-postinnsamling: Lokal e-postinnsamling | Vi observerte MirrorFace-operatører som samlet inn lagrede e-postmeldinger. | |
T1056.001 | Inndatafangst: Tastelogging | LODEINFO utfører tastelogging. | |
T1113 | Screen Capture | LODEINFO kan få et skjermbilde. | |
T1005 | Data fra lokalt system | Vi observerte MirrorFace-operatører som samlet inn og eksfiltrerte data av interesse. | |
Command and Control | T1071.001 | Application Layer Protocol: Webprotokoller | LODEINFO bruker HTTP-protokollen for å kommunisere med sin C&C-server. |
T1132.001 | Datakoding: Standardkoding | LODEINFO bruker URL-safe base64 for å kode sin C&C-trafikk. | |
T1573.001 | Kryptert kanal: symmetrisk kryptografi | LODEINFO bruker AES-256-CBC for å kryptere C&C-trafikk. | |
T1001.001 | Dataobfuskasjon: søppeldata | Andre trinn LODEINFO C&C legger søppel til sendte data. | |
exfiltration | T1041 | Eksfiltrering over C2-kanal | LODEINFO kan eksfiltrere filer til C&C-serveren. |
T1071.002 | Application Layer Protocol: Filoverføringsprotokoller | Vi observerte MirrorFace ved å bruke Secure Copy Protocol (SCP) for å eksfiltrere innsamlede data. | |
Påvirkning | T1486 | Data kryptert for effekt | LODEINFO kan kryptere filer på offerets maskin. |
- blockchain
- coingenius
- cryptocurrency lommebøker
- kryptoverveksling
- cybersikkerhet
- nettkriminelle
- Cybersecurity
- innenriksdepartementet
- digitale lommebøker
- ESET Research
- brannmur
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- plato ai
- Platon Data Intelligence
- Platon spill
- PlatonData
- platogaming
- VPN
- Vi lever sikkerhet
- nettside sikkerhet
- zephyrnet