Desmascarando MirrorFace: Operação LiberalFace visando entidades políticas japonesas

Os pesquisadores da ESET descobriram uma campanha de spearphishing, lançada nas semanas que antecederam o Eleição da Câmara dos Conselheiros do Japão em julho de 2022, pelo grupo APT que a ESET Research rastreia como MirrorFace. A campanha, que chamamos de Operação LiberalFace, tinha como alvo entidades políticas japonesas; nossa investigação revelou que os membros de um partido político específico tiveram um foco particular nessa campanha. A ESET Research revelou detalhes sobre esta campanha e o grupo APT por trás dela no Conferência AVAR 2022 no início deste mês.

MirrorFace é um agente de ameaças que fala chinês e tem como alvo empresas e organizações com sede no Japão. Embora haja alguma especulação de que esse agente de ameaça possa estar relacionado ao APT10 (Macnica, Kaspersky), a ESET não pode atribuí-lo a nenhum grupo APT conhecido. Portanto, estamos rastreando-o como uma entidade separada que chamamos de MirrorFace. Em particular, MirrorFace e LODEINFO, seu malware proprietário usado exclusivamente contra alvos no Japão, foram relatado como alvo de mídia, empresas relacionadas à defesa, think tanks, organizações diplomáticas e instituições acadêmicas. O objetivo do MirrorFace é a espionagem e a exfiltração de arquivos de interesse.

Atribuímos a Operação LiberalFace ao MirrorFace com base nestes indicadores:

• Até onde sabemos, o malware LODEINFO é usado exclusivamente pelo MirrorFace.
• Os alvos da Operação LiberalFace se alinham com o direcionamento tradicional do MirrorFace.
• Uma amostra de malware LODEINFO de segundo estágio entrou em contato com um servidor C&C que rastreamos internamente como parte da infraestrutura MirrorFace.

Um dos e-mails de spearphishing enviados na Operação LiberalFace se passou por uma comunicação oficial do departamento de relações públicas de um partido político japonês específico, contendo uma solicitação relacionada às eleições da Câmara dos Conselheiros e foi supostamente enviado em nome de um político proeminente. Todos os e-mails de spearphishing continham um anexo malicioso que, após a execução, implantava LODEINFO na máquina comprometida.

Além disso, descobrimos que MirrorFace usou malware não documentado anteriormente, que chamamos de MirrorStealer, para roubar as credenciais de seu alvo. Acreditamos que esta é a primeira vez que esse malware é descrito publicamente.

Nesta postagem do blog, abordamos as atividades pós-compromisso observadas, incluindo os comandos C&C enviados ao LODEINFO para executar as ações. Com base em certas atividades realizadas na máquina afetada, pensamos que o operador MirrorFace emitiu comandos para LODEINFO de maneira manual ou semi-manual.

Acesso inicial

MirrorFace iniciou o ataque em 29 de junho^th, 2022, distribuindo e-mails de spearphishing com anexo malicioso aos alvos. O assunto do e-mail era SNS用動画拡散のお願い (tradução do Google Tradutor: [Importante] Solicitação de divulgação de vídeos para SNS). A Figura 1 e a Figura 2 mostram seu conteúdo.

Figura 2. Versão traduzida

Alegando ser o departamento de relações públicas de um partido político japonês, o MirrorFace pediu aos destinatários que distribuíssem os vídeos anexados em seus próprios perfis de mídia social (SNS – Social Network Service) para fortalecer ainda mais as relações públicas do partido e garantir a vitória na Câmara dos Vereadores. Além disso, o e-mail traz instruções claras sobre a estratégia de publicação dos vídeos.

Como a eleição da Câmara dos Conselheiros foi realizada em 10 de julho^th, 2022, este e-mail indica claramente que MirrorFace buscou a oportunidade de atacar entidades políticas. Além disso, o conteúdo específico do e-mail indica que membros de um determinado partido político foram visados.

MirrorFace também usou outro e-mail de spearphishing na campanha, onde o anexo foi intitulado 【参考】220628発・選挙管理委員会宛文書（添書分）.exe (tradução do Google Tradutor: [Referência] 220628 Documentos do Ministério do Comitê de Administração Eleitoral (apêndice).exe). O documento chamariz anexo (mostrado na Figura 3) também faz referência à eleição da Câmara dos Conselheiros.

Figura 3. Documento chamariz mostrado ao alvo

Em ambos os casos, os e-mails continham anexos maliciosos na forma de arquivos WinRAR autoextraíveis com nomes enganosos SNS用動画 拡散のお願い.exe (tradução do Google Tradutor: Pedido de divulgação de vídeos para SNS.exe) e 【参考】220628発・選挙管理委員会宛文書（添書分）.exe (tradução do Google Tradutor: [Referência] 220628 Documentos do Ministério do Comitê de Administração Eleitoral (apêndice).exe) respectivamente.

Esses EXEs extraem seu conteúdo arquivado no % TEMP% pasta. Em particular, quatro arquivos são extraídos:

• K7SysMon.exe, um aplicativo benigno desenvolvido pela K7 Computing Pvt Ltd vulnerável ao sequestro de pedidos de pesquisa de DLL
• K7SysMn1.dll, um carregador malicioso
• K7SysMon.Exe.db, malware LODEINFO criptografado
• Um documento isca

Em seguida, o documento isca é aberto para enganar o alvo e parecer benigno. Como último passo, K7SysMon.exe é executado que carrega o carregador malicioso K7SysMn1.dll caiu ao lado dela. Finalmente, o carregador lê o conteúdo de K7SysMon.Exe.db, o descriptografa e o executa. Observe que essa abordagem também foi observada pela Kaspersky e descrita em seu Denunciar.

Toolset

Nesta seção, descrevemos o malware MirrorFace utilizado na Operação LiberalFace.

LODEINFO

LODEINFO é um backdoor MirrorFace que está em desenvolvimento contínuo. JPCERT relatou sobre a primeira versão do LODEINFO (v0.1.2), que surgiu por volta de dezembro de 2019; sua funcionalidade permite capturar capturas de tela, keylogging, eliminar processos, exfiltrar arquivos e executar arquivos e comandos adicionais. Desde então, temos observado diversas alterações introduzidas em cada uma de suas versões. Por exemplo, a versão 0.3.8 (que detectamos pela primeira vez em junho de 2020) adicionou o comando resgate (que criptografa arquivos e pastas definidos) e a versão 0.5.6 (que detectamos em julho de 2021) adicionou o comando configuração, que permite aos operadores modificar sua configuração armazenada no registro. Além do relatório JPCERT mencionado acima, uma análise detalhada do backdoor LODEINFO também foi publicada no início deste ano por Kaspersky.

Na Operação LiberalFace, observamos operadores MirrorFace utilizando tanto o LODEINFO regular quanto o que chamamos de malware LODEINFO de segundo estágio. O LODEINFO de segundo estágio pode ser distinguido do LODEINFO regular observando a funcionalidade geral. Em particular, o LODEINFO de segundo estágio aceita e executa binários PE e shellcode fora dos comandos implementados. Além disso, o LODEINFO de segundo estágio pode processar o comando C&C configuração, mas a funcionalidade para o comando resgate está faltando.

Finalmente, os dados recebidos do servidor C&C diferem entre o LODEINFO regular e o de segundo estágio. Para o LODEINFO de segundo estágio, o servidor C&C anexa o conteúdo aleatório da página da Web aos dados reais. Consulte a Figura 4, a Figura 5 e a Figura 6 que descrevem a diferença de dados recebidos. Observe que o trecho de código anexado difere para cada fluxo de dados recebido do C&C de segundo estágio.

Figura 4. Dados recebidos do primeiro estágio LODEINFO C&C

Figura 5. Dados recebidos do segundo estágio C&C

Figura 6. Outro fluxo de dados recebido do C&C de segundo estágio

MirrorStealer

MirrorStealer, nomeado internamente 31558_n.dll por MirrorFace, é um ladrão de credenciais. Até onde sabemos, esse malware não foi descrito publicamente. Em geral, o MirrorStealer rouba credenciais de vários aplicativos, como navegadores e clientes de e-mail. Curiosamente, um dos aplicativos visados ​​é Becky!, um cliente de e-mail atualmente disponível apenas no Japão. Todas as credenciais roubadas são armazenadas em %TEMP%31558.txt e como o MirrorStealer não tem a capacidade de exfiltrar os dados roubados, ele depende de outro malware para fazer isso.

Atividades pós-compromisso

Durante nossa pesquisa, pudemos observar alguns dos comandos que foram emitidos para computadores comprometidos.

Observação inicial do ambiente

Depois que o LODEINFO foi iniciado nas máquinas comprometidas e elas se conectaram com sucesso ao servidor C&C, um operador começou a emitir comandos (consulte a Figura 7).

Figura 7. Observação inicial do ambiente pelo operador MirrorFace via LODEINFO

Primeiro, o operador emitiu um dos comandos LODEINFO, impressão, para capturar a tela da máquina comprometida. Isso foi seguido por outro comando, ls, para ver o conteúdo da pasta atual na qual LODEINFO residia (ou seja, % TEMP%). Logo em seguida, a operadora utilizou o LODEINFO para obter informações da rede executando visão de rede e visualização líquida / domínio. O primeiro comando retorna a lista de computadores conectados à rede, enquanto o segundo retorna a lista de domínios disponíveis.

Roubo de credenciais e cookies do navegador

Após coletar essas informações básicas, o operador passou para a próxima fase (consulte a Figura 8).

Figura 8. Fluxo de instruções enviadas ao LODEINFO para implantar o ladrão de credenciais, coletar credenciais e cookies do navegador e exfiltrá-los para o servidor C&C

O operador emitiu o comando LODEINFO send com o subcomando -memória para entregar MirrorStealer malware para a máquina comprometida. O subcomando -memória foi usado para indicar ao LODEINFO para manter o MirrorStealer em sua memória, o que significa que o binário do MirrorStealer nunca foi descartado no disco. Posteriormente, o comando memória foi emitido. Este comando instruiu o LODEINFO a pegar o MirrorStealer, injetá-lo no cmd.exe processo e execute-o.

Depois que o MirrorStealer coletou as credenciais e as armazenou em %temp%31558.txt, o operador usou LODEINFO para exfiltrar as credenciais.

O operador também estava interessado nos cookies do navegador da vítima. No entanto, o MirrorStealer não possui a capacidade de coletá-los. Portanto, o operador exfiltrou os cookies manualmente via LODEINFO. Primeiro, o operador usou o comando LODEINFO dir para listar o conteúdo das pastas % LocalAppData% GoogleChromeUser Data e %LocalAppData%MicrosoftEdgeDados do usuário. Em seguida, o operador copiou todos os arquivos de cookies identificados no % TEMP% pasta. Em seguida, o operador extraiu todos os arquivos de cookies coletados usando o comando LODEINFO recv. Finalmente, o operador excluiu os arquivos de cookies copiados do % TEMP% pasta em uma tentativa de remover os vestígios.

Roubo de documentos e e-mail

Na próxima etapa, o operador extraiu documentos de vários tipos, bem como e-mails armazenados (consulte a Figura 9).

Figura 9. Fluxo das instruções enviadas ao LODEINFO para exfiltrar arquivos de interesse

Para isso, a operadora primeiro utilizou o LODEINFO para entregar o arquivador WinRAR (rar.exe). Usando rar.exe, o operador coletou e arquivou arquivos de interesse que foram modificados após 2022-01-01 das pastas %USERPROFILE% e C:$Recycle.Bin. O operador estava interessado em todos esses arquivos com as extensões .documento*, .ppt*, .xls*, .jtd, .eml, .*xps e .pdf.

Observe que além dos tipos comuns de documentos, MirrorFace também estava interessado em arquivos com a .jtd extensão. Isso representa documentos do processador de texto japonês Ichitarô desenvolvido pela JustSystems.

Uma vez criado o arquivo, o operador entregava o cliente Secure Copy Protocol (SCP) do PuTTY contínuo (pscp.exe) e, em seguida, usou-o para exfiltrar o arquivo RAR recém-criado para o servidor em 45.32.13[.]180. Esse endereço IP não foi observado na atividade anterior do MirrorFace e não foi usado como um servidor C&C em nenhum malware LODEINFO que observamos. Logo após o arquivo ser exfiltrado, o operador deletou rar.exe, pscp.exe, e o arquivo RAR para limpar os rastros da atividade.

Implantação de LODEINFO de segundo estágio

A última etapa que observamos foi a entrega do LODEINFO de segundo estágio (consulte a Figura 10).

Figura 10. Fluxo de instruções enviadas ao LODEINFO para implantar o LODEINFO de segundo estágio

O operador entregou os seguintes binários: JSESPR.dll, JsSchHlp.exe e vcruntime140.dll para a máquina comprometida. O original JsSchHlp.exe é um aplicativo benigno assinado pela JUSTSYSTEMS CORPORATION (fabricantes do processador de texto japonês mencionado anteriormente, Ichitaro). No entanto, neste caso, o operador MirrorFace abusou de uma verificação de assinatura digital conhecida da Microsoft emitem e dados criptografados RC4 anexados ao JsSchHlp.exe assinatura digital. Devido ao problema mencionado, o Windows ainda considera o JsSchHlp.exe ser validamente assinado.

JsSchHlp.exe também é suscetível ao carregamento lateral de DLL. Portanto, após a execução, o plantado JSESPR.dll é carregado (veja a Figura 11).

Figura 11. Fluxo de execução do segundo estágio LODEINFO

JSESPR.dll é um carregador malicioso que lê a carga anexada de JsSchHlp.exe, o descriptografa e o executa. A carga útil é o LODEINFO de segundo estágio e, uma vez em execução, o operador utilizou o LODEINFO regular para definir a persistência do segundo estágio. Em particular, o operador executou o reg.exe utilitário para adicionar um valor chamado JsSchHlp ao Execute chave de registro segurando o caminho para JsSchHlp.exe.

No entanto, parece-nos que o operador não conseguiu fazer com que o LODEINFO de segundo estágio se comunicasse corretamente com o servidor C&C. Portanto, quaisquer outras etapas do operador utilizando o LODEINFO de segundo estágio permanecem desconhecidas para nós.

Observações interessantes

Durante a investigação, fizemos algumas observações interessantes. Um deles é que o operador cometeu alguns erros e erros de digitação ao emitir comandos para LODEINFO. Por exemplo, o operador enviou a string cmd /c diretório “c:use” para LODEINFO, que provavelmente deveria ser cmd /c dir “c:usuários”.

Isso sugere que o operador está emitindo comandos para LODEINFO de maneira manual ou semi-manual.

Nossa próxima observação é que, embora o operador tenha feito algumas limpezas para remover vestígios do comprometimento, o operador esqueceu de excluir %temp%31558.txt – o log contendo as credenciais roubadas. Assim, pelo menos esse traço permaneceu na máquina comprometida e nos mostra que o operador não foi minucioso no processo de limpeza.

Conclusão

MirrorFace continua mirando alvos de alto valor no Japão. Na Operação LiberalFace, ele visou especificamente entidades políticas usando a então próxima eleição da Câmara dos Conselheiros a seu favor. Mais interessante, nossas descobertas indicam que o MirrorFace é particularmente focado nos membros de um partido político específico.

Durante a investigação da Operação LiberalFace, conseguimos descobrir mais TTPs MirrorFace, como a implantação e utilização de malware e ferramentas adicionais para coletar e exfiltrar dados valiosos das vítimas. Além disso, nossa investigação revelou que os operadores do MirrorFace são um tanto descuidados, deixando rastros e cometendo vários erros.

IoCs

Arquivos

Network

Técnicas MITER ATT e CK

Esta tabela foi construída usando versão 12 da estrutura MITRE ATT&CK.

Observe que, embora esta postagem no blog não forneça uma visão geral completa dos recursos do LODEINFO porque essas informações já estão disponíveis em outras publicações, a tabela MITRE ATT&CK abaixo contém todas as técnicas associadas a ela.