Zdemaskowanie MirrorFace: Operacja LiberalFace wymierzona w japońskie podmioty polityczne

Badacze firmy ESET wykryli kampanię spearphishingu rozpoczętą w tygodniach poprzedzających atak Wybory do japońskiej Izby Radców w lipcu 2022 r. przez grupę APT, którą ESET Research śledzi jako MirrorFace. Kampania, którą nazwaliśmy Operacją LiberalFace, była wymierzona w japońskie podmioty polityczne; Nasze dochodzenie wykazało, że członkowie określonej partii politycznej byli szczególnie skupieni w tej kampanii. Firma ESET Research ujawniła szczegółowe informacje na temat tej kampanii i grupy APT, która za nią stoi Konferencja AVAR 2022 na początku tego miesiąca.

MirrorFace to chińskojęzyczny ugrupowanie cyberprzestępcze atakujące firmy i organizacje z siedzibą w Japonii. Chociaż istnieją pewne spekulacje, że ten aktor cyberprzestępczy może być powiązany z APT10 (Macnica, Kaspersky), firma ESET nie jest w stanie przypisać go do żadnej znanej grupy APT. Dlatego śledzimy go jako oddzielną jednostkę, którą nazwaliśmy MirrorFace. W szczególności dotyczy to MirrorFace i LODEINFO, własnego złośliwego oprogramowania wykorzystywanego wyłącznie przeciwko celom w Japonii zgłaszane jako atakujące media, firmy związane z obronnością, think tanki, organizacje dyplomatyczne i instytucje akademickie. Celem MirrorFace jest szpiegostwo i eksfiltracja interesujących plików.

Operację LiberalFace przypisujemy MirrorFace na podstawie następujących wskaźników:

• Zgodnie z naszą najlepszą wiedzą, złośliwe oprogramowanie LODEINFO jest wykorzystywane wyłącznie przez MirrorFace.
• Cele operacji LiberalFace pokrywają się z tradycyjnymi celami MirrorFace.
• Próbka złośliwego oprogramowania drugiego etapu LODEINFO skontaktowała się z serwerem C&C, który śledzimy wewnętrznie w ramach infrastruktury MirrorFace.

Jeden z e-maili phishingowych wysłanych w ramach operacji LiberalFace podszywał się pod oficjalny komunikat z działu PR określonej japońskiej partii politycznej, zawierający prośbę związaną z wyborami do Izby Radnych i został rzekomo wysłany w imieniu prominentnego polityka. Wszystkie e-maile phishingowe zawierały złośliwy załącznik, który po wykonaniu instalował LODEINFO na zaatakowanej maszynie.

Ponadto odkryliśmy, że MirrorFace używało wcześniej nieudokumentowanego złośliwego oprogramowania, które nazwaliśmy MirrorStealer, do kradzieży danych uwierzytelniających swojego celu. Uważamy, że jest to pierwszy publiczny opis tego złośliwego oprogramowania.

W tym poście na blogu omawiamy obserwowane działania po kompromitacji, w tym polecenia C&C wysyłane do LODEINFO w celu wykonania działań. Na podstawie pewnych czynności wykonanych na zaatakowanej maszynie uważamy, że operator MirrorFace wydał polecenia LODEINFO w sposób ręczny lub półręczny.

Wstępny dostęp

MirrorFace rozpoczął atak 29 czerwca^th, 2022 r., dystrybucja do celów e-maili typu spearphishing ze złośliwym załącznikiem. Temat e-maila brzmiał SNS用動画 拡散のお願い (tłumaczenie z Tłumacza Google: [Ważne] Prośba o rozpowszechnianie filmów w serwisie SNS). Rysunek 1 i rysunek 2 przedstawiają jego zawartość.

Rysunek 2. Wersja przetłumaczona

Podając się za dział PR japońskiej partii politycznej, MirrorFace poprosił odbiorców o rozpowszechnianie załączonych filmów na ich własnych profilach w mediach społecznościowych (SNS – Social Network Service), aby jeszcze bardziej wzmocnić PR partii i zapewnić sobie zwycięstwo w Izbie Radnych. Ponadto e-mail zawiera jasne instrukcje dotyczące strategii publikacji filmów.

Ponieważ wybory do Izby Radnych odbyły się 10 lipca^th, 2022, ten e-mail wyraźnie wskazuje, że MirrorFace szukał okazji do atakowania podmiotów politycznych. Ponadto konkretna treść wiadomości e-mail wskazuje, że celem ataków byli członkowie określonej partii politycznej.

MirrorFace wykorzystał również inny e-mail phishingowy w kampanii, którego załącznik nosił tytuł 【参考】220628発・選挙管理委員会宛文書(添書分).exe (tłumaczenie z Tłumacza Google: [Referencja] 220628 Dokumenty Ministerstwa do komisji administracji wyborczej (załącznik).exe). Załączony dokument będący wabikiem (pokazany na rysunku 3) odnosi się również do wyborów Izby Radnych.

Rysunek 3. Dokument wabika pokazany celu

W obu przypadkach e-maile zawierały złośliwe załączniki w postaci samorozpakowujących się archiwów WinRAR o zwodniczych nazwach. SNS用動画 拡散のお願い.exe (tłumaczenie z Tłumacza Google: Prośba o rozpowszechnianie filmów dla SNS.exe) i 【参考】220628発・選挙管理委員会宛文書(添書分).exe (tłumaczenie z Tłumacza Google: [Referencja] 220628 Dokumenty Ministerstwa do komisji administracji wyborczej (załącznik).exe) odpowiednio.

Te pliki EXE wyodrębniają zarchiwizowaną zawartość do pliku % Temp% teczka. W szczególności wyodrębniane są cztery pliki:

• K7SysMon.exe, nieszkodliwa aplikacja opracowana przez K7 Computing Pvt Ltd podatna na przechwytywanie kolejności wyszukiwania DLL
• K7SysMn1.dll, złośliwy program ładujący
• K7SysMon.Exe.db, zaszyfrowane złośliwe oprogramowanie LODEINFO
• Dokument wabika

Następnie dokument wabika jest otwierany, aby oszukać cel i wyglądać na łagodnego. Jako ostatni krok, K7SysMon.exe jest wykonywany, który ładuje złośliwy program ładujący K7SysMn1.dll spadł obok. Na koniec moduł ładujący odczytuje zawartość pliku K7SysMon.Exe.db, odszyfrowuje go, a następnie wykonuje. Należy zauważyć, że to podejście zostało również zaobserwowane przez firmę Kaspersky i opisane w ich artykule raport.

Zestaw narzędzi

W tej sekcji opisujemy złośliwe oprogramowanie MirrorFace wykorzystywane w operacji LiberalFace.

LODEINFO

LODEINFO to backdoor MirrorFace, który jest ciągle rozwijany. JPCERT poinformował o pierwszej wersji LODEINFO (v0.1.2), która pojawiła się około grudnia 2019 r.; jego funkcjonalność umożliwia przechwytywanie zrzutów ekranu, rejestrowanie klawiszy, zabijanie procesów, eksfiltrację plików oraz wykonywanie dodatkowych plików i poleceń. Od tego czasu zaobserwowaliśmy kilka zmian wprowadzanych do każdej z jej wersji. Na przykład wersja 0.3.8 (którą po raz pierwszy wykryliśmy w czerwcu 2020 r.) dodała polecenie ransom (które szyfruje określone pliki i foldery), a wersja 0.5.6 (którą wykryliśmy w lipcu 2021 r.) dodała polecenie config, co pozwala operatorom modyfikować jego konfigurację zapisaną w rejestrze. Oprócz wspomnianych wyżej raportów JPCERT, szczegółowa analiza backdoora LODEINFO została również opublikowana na początku tego roku przez Kaspersky.

Podczas Operacji LiberalFace zaobserwowaliśmy, że operatorzy MirrorFace wykorzystują zarówno zwykłe oprogramowanie LODEINFO, jak i to, co nazywamy złośliwym oprogramowaniem LODEINFO drugiej fazy. LODEINFO drugiego etapu można odróżnić od zwykłego LODEINFO, patrząc na ogólną funkcjonalność. W szczególności drugi etap LODEINFO akceptuje i uruchamia pliki binarne PE i kod powłoki poza zaimplementowanymi poleceniami. Ponadto LODEINFO drugiego stopnia może przetwarzać polecenia C&C config, ale funkcjonalność polecenia okup brakuje.

Wreszcie, dane otrzymane z serwera C&C różnią się między zwykłym LODEINFO a drugim etapem. W drugim etapie LODEINFO serwer C&C dodaje losową treść strony internetowej do rzeczywistych danych. Zobacz rysunek 4, rysunek 5 i rysunek 6, przedstawiające różnice w odebranych danych. Zwróć uwagę, że dołączony fragment kodu różni się dla każdego odebranego strumienia danych z drugiego etapu C&C.

Rysunek 4. Dane odebrane z pierwszego stopnia LODEINFO C&C

Rysunek 5. Dane odebrane z C&C drugiego stopnia

Rysunek 6. Kolejny strumień danych odebrany z C&C drugiego stopnia

Złodziej luster

MirrorStealer, nazwany wewnętrznie 31558_n.dll autorstwa MirrorFace to narzędzie do kradzieży danych uwierzytelniających. Według naszej najlepszej wiedzy to złośliwe oprogramowanie nie zostało publicznie opisane. Ogólnie rzecz biorąc, MirrorStealer kradnie dane uwierzytelniające z różnych aplikacji, takich jak przeglądarki i klienci poczty e-mail. Co ciekawe, jedną z docelowych aplikacji jest Becky!, klient poczty e-mail, który jest obecnie dostępny tylko w Japonii. Wszystkie skradzione dane uwierzytelniające są przechowywane w %TEMP%31558.txt a ponieważ MirrorStealer nie ma możliwości eksfiltracji skradzionych danych, jest to zależne od innego złośliwego oprogramowania.

Działania postkompromisowe

Podczas naszych badań byliśmy w stanie zaobserwować niektóre polecenia wydawane zaatakowanym komputerom.

Wstępna obserwacja środowiska

Gdy LODEINFO zostało uruchomione na zaatakowanych maszynach i pomyślnie połączyły się z serwerem C&C, operator zaczął wydawać polecenia (patrz rysunek 7).

Rysunek 7. Wstępna obserwacja środowiska przez operatora MirrorFace za pośrednictwem LODEINFO

Najpierw operator wydał jedno z poleceń LODEINFO, , aby przechwycić ekran zaatakowanej maszyny. Po tym nastąpiła kolejna komenda, ls, aby zobaczyć zawartość bieżącego folderu, w którym znajdowało się LODEINFO (tj. % Temp%). Zaraz po tym operator wykorzystał LODEINFO do uzyskania informacji o sieci poprzez uruchomienie widok netto i widok netto / domena. Pierwsze polecenie zwraca listę komputerów podłączonych do sieci, drugie zwraca listę dostępnych domen.

Kradzież danych uwierzytelniających i plików cookie przeglądarki

Po zebraniu tych podstawowych informacji operator przechodził do następnej fazy (patrz rysunek 8).

Rysunek 8. Przepływ instrukcji wysyłanych do LODEINFO w celu wdrożenia modułu wykradania poświadczeń, zbierania poświadczeń i plików cookie przeglądarki oraz eksfiltracji ich na serwer C&C

Operator wydał polecenie LODEINFO send z podkomendą -pamięć dostarczyć Złodziej luster złośliwego oprogramowania na zaatakowaną maszynę. Podkomenda -pamięć został użyty do wskazania LODEINFO, aby przechowywał MirrorStealer w jego pamięci, co oznacza, że ​​plik binarny MirrorStealer nigdy nie został upuszczony na dysk. Następnie komenda pamięć zostało wydane. To polecenie poinstruowało LODEINFO, aby wziął MirrorStealer, wstrzyknął go do spawnu cmd.exe przetwarzać i uruchamiać.

Gdy MirrorStealer zebrał poświadczenia i zapisał je w %temp%31558.txt, operator użył LODEINFO do eksfiltracji poświadczeń.

Operator był również zainteresowany plikami cookie przeglądarki ofiary. Jednak MirrorStealer nie ma możliwości ich zbierania. Dlatego operator ręcznie eksfiltrował pliki cookie za pośrednictwem LODEINFO. Najpierw operator użył polecenia LODEINFO reż aby wyświetlić zawartość folderów %LocalAppData%GoogleChromeDane użytkownika i %LocalAppData%MicrosoftEdgeDane użytkownika. Następnie operator kopiuje wszystkie zidentyfikowane pliki cookies do pliku % Temp% teczka. Następnie operator eksfiltrował wszystkie zebrane pliki cookie za pomocą polecenia LODEINFO Odbierz. Ostatecznie operator usunął skopiowane pliki cookies z % Temp% folder w celu usunięcia śladów.

Kradzież dokumentów i wiadomości e-mail

W kolejnym kroku operator dokonał eksfiltracji różnego rodzaju dokumentów, a także przechowywanych wiadomości e-mail (patrz rysunek 9).

Rysunek 9. Przebieg instrukcji wysyłanych do LODEINFO w celu eksfiltracji interesujących plików

W tym celu operator najpierw wykorzystał LODEINFO do dostarczenia archiwizatora WinRAR (rar.exe). Za pomocą rar.exe, operator zebrał i zarchiwizował interesujące pliki, które zostały zmodyfikowane po 2022-01-01 z folderów %USERPROFILE% i C:$Recycle.Bin. Operatora interesowały wszystkie tego typu pliki z rozszerzeniami .dokument*, .ppt*, xls*, jtd, .eml, .*xps, . Pdf.

Zauważ, że oprócz typowych typów dokumentów, MirrorFace był również zainteresowany plikami z rozszerzeniem jtd rozbudowa. Reprezentuje dokumenty japońskiego edytora tekstu Ichitaro opracowany przez JustSystems.

Po utworzeniu archiwum operator dostarczył klienta Secure Copy Protocol (SCP) z PuTTY nieprzerwany (pscp.exe), a następnie użył go do eksfiltracji właśnie utworzonego archiwum RAR na serwer pod adresem 45.32.13[.]180. Ten adres IP nie został zaobserwowany w poprzedniej aktywności MirrorFace i nie był używany jako serwer C&C w żadnym zaobserwowanym przez nas złośliwym oprogramowaniu LODEINFO. Zaraz po eksfiltracji archiwum operator został usunięty rar.exe, pscp.exe, oraz archiwum RAR w celu wyczyszczenia śladów aktywności.

Wdrożenie drugiego etapu LODEINFO

Ostatnim obserwowanym przez nas krokiem było dostarczenie drugiego etapu LODEINFO (patrz rysunek 10).

Rysunek 10. Przepływ instrukcji wysyłanych do LODEINFO w celu wdrożenia drugiego etapu LODEINFO

Operator dostarczył następujące pliki binarne: JSESPR.dll, JsSchHlp.exe, vcruntime140.dll do zainfekowanej maszyny. Oryginalny JsSchHlp.exe jest łagodną aplikacją podpisaną przez JUSTSYSTEMS CORPORATION (twórców wspomnianego wcześniej japońskiego edytora tekstu, Ichitaro). Jednak w tym przypadku operator MirrorFace nadużył znanej weryfikacji podpisu cyfrowego firmy Microsoft problem i dołączył zaszyfrowane dane RC4 do pliku JsSchHlp.exe podpis cyfrowy. Ze względu na wspomniany problem system Windows nadal uważa zmodyfikowany JsSchHlp.exe być prawidłowo podpisany.

JsSchHlp.exe jest również podatny na boczne ładowanie bibliotek DLL. Dlatego po wykonaniu posadzone JSESPR.dll jest załadowany (patrz rysunek 11).

Rysunek 11. Przebieg wykonania drugiego etapu LODEINFO

JSESPR.dll to złośliwy program ładujący, który odczytuje z dołączonego ładunku JsSchHlp.exe, odszyfrowuje go i uruchamia. Ładunkiem jest drugi etap LODEINFO, a po uruchomieniu operator wykorzystał zwykły LODEINFO do ustawienia trwałości dla drugiego etapu. W szczególności operator prowadził reg.exe narzędzie, aby dodać wartość o nazwie JsSchHlp do run klucz rejestru zawierający ścieżkę do JsSchHlp.exe.

Wydaje nam się jednak, że operatorowi nie udało się zmusić LODEINFO drugiego stopnia do prawidłowej komunikacji z serwerem C&C. W związku z tym dalsze kroki operatora korzystającego z drugiego stopnia LODEINFO pozostają nam nieznane.

Ciekawe obserwacje

Podczas dochodzenia poczyniliśmy kilka interesujących obserwacji. Jednym z nich jest to, że operator popełnił kilka błędów i literówek podczas wydawania poleceń do LODEINFO. Na przykład operator wysłał ciąg cmd /c katalog „c: użyj” do LODEINFO, co najprawdopodobniej miało być cmd /c katalog „c: użytkownicy”.

Sugeruje to, że operator wydaje polecenia LODEINFO w sposób ręczny lub półręczny.

Naszą następną obserwacją jest to, że chociaż operator wykonał kilka porządków w celu usunięcia śladów po kompromitacji, zapomniał usunąć %temp%31558.txt – dziennik zawierający skradzione dane uwierzytelniające. Tak więc przynajmniej ten ślad pozostał na zaatakowanej maszynie i pokazuje nam, że operator nie był dokładny w procesie czyszczenia.

Wnioski

MirrorFace nadal dąży do celów o wysokiej wartości w Japonii. W operacji LiberalFace celował w podmioty polityczne, wykorzystując zbliżające się wówczas wybory do Izby Radnych na swoją korzyść. Co ciekawsze, nasze odkrycia wskazują, że MirrorFace szczególnie koncentruje się na członkach określonej partii politycznej.

Podczas dochodzenia w ramach Operacji LiberalFace udało nam się wykryć dalsze ataki TTP MirrorFace, takie jak wdrażanie i wykorzystywanie dodatkowego złośliwego oprogramowania oraz narzędzi do gromadzenia i eksfiltracji cennych danych od ofiar. Co więcej, nasze dochodzenie wykazało, że operatorzy MirrorFace są nieco nieostrożni, zostawiają ślady i popełniają różne błędy.

IoC

Akta

Sieć

Techniki SKOŚNE ATT&CK

Ten stół został zbudowany przy użyciu wersja 12 frameworku MITER ATT&CK.

Należy zauważyć, że chociaż ten wpis na blogu nie zawiera pełnego przeglądu możliwości LODEINFO, ponieważ informacje te są już dostępne w innych publikacjach, poniższa tabela MITRE ATT&CK zawiera wszystkie powiązane z nią techniki.