Os pesquisadores da ESET descobriram uma campanha de spearphishing visando entidades políticas japonesas algumas semanas antes das eleições da Câmara dos Conselheiros e, no processo, descobriram um ladrão de credenciais MirrorFace não descrito anteriormente
Os pesquisadores da ESET descobriram uma campanha de spearphishing, lançada nas semanas que antecederam o Eleição da Câmara dos Conselheiros do Japão em julho de 2022, pelo grupo APT que a ESET Research rastreia como MirrorFace. A campanha, que chamamos de Operação LiberalFace, tinha como alvo entidades políticas japonesas; nossa investigação revelou que os membros de um partido político específico tiveram um foco particular nessa campanha. A ESET Research revelou detalhes sobre esta campanha e o grupo APT por trás dela no Conferência AVAR 2022 no início deste mês.
- No final de junho de 2022, MirrorFace lançou uma campanha, que chamamos de Operação LiberalFace, que visava entidades políticas japonesas.
- Mensagens de e-mail de spearphishing contendo o principal backdoor do grupo, LODEINFO, foram enviadas aos alvos.
- O LODEINFO foi usado para fornecer malware adicional, exfiltrar as credenciais da vítima e roubar seus documentos e e-mails.
- Um ladrão de credenciais não descrito anteriormente que chamamos de MirrorStealer foi usado na Operação LiberalFace.
- A ESET Research realizou uma análise das atividades pós-compromisso, o que sugere que as ações observadas foram realizadas de maneira manual ou semi-manual.
- Detalhes sobre esta campanha foram compartilhados no Conferência AVAR 2022.
MirrorFace é um agente de ameaças que fala chinês e tem como alvo empresas e organizações com sede no Japão. Embora haja alguma especulação de que esse agente de ameaça possa estar relacionado ao APT10 (Macnica, Kaspersky), a ESET não pode atribuí-lo a nenhum grupo APT conhecido. Portanto, estamos rastreando-o como uma entidade separada que chamamos de MirrorFace. Em particular, MirrorFace e LODEINFO, seu malware proprietário usado exclusivamente contra alvos no Japão, foram relatado como alvo de mídia, empresas relacionadas à defesa, think tanks, organizações diplomáticas e instituições acadêmicas. O objetivo do MirrorFace é a espionagem e a exfiltração de arquivos de interesse.
Atribuímos a Operação LiberalFace ao MirrorFace com base nestes indicadores:
- Até onde sabemos, o malware LODEINFO é usado exclusivamente pelo MirrorFace.
- Os alvos da Operação LiberalFace se alinham com o direcionamento tradicional do MirrorFace.
- Uma amostra de malware LODEINFO de segundo estágio entrou em contato com um servidor C&C que rastreamos internamente como parte da infraestrutura MirrorFace.
Um dos e-mails de spearphishing enviados na Operação LiberalFace se passou por uma comunicação oficial do departamento de relações públicas de um partido político japonês específico, contendo uma solicitação relacionada às eleições da Câmara dos Conselheiros e foi supostamente enviado em nome de um político proeminente. Todos os e-mails de spearphishing continham um anexo malicioso que, após a execução, implantava LODEINFO na máquina comprometida.
Além disso, descobrimos que MirrorFace usou malware não documentado anteriormente, que chamamos de MirrorStealer, para roubar as credenciais de seu alvo. Acreditamos que esta é a primeira vez que esse malware é descrito publicamente.
Nesta postagem do blog, abordamos as atividades pós-compromisso observadas, incluindo os comandos C&C enviados ao LODEINFO para executar as ações. Com base em certas atividades realizadas na máquina afetada, pensamos que o operador MirrorFace emitiu comandos para LODEINFO de maneira manual ou semi-manual.
Acesso inicial
MirrorFace iniciou o ataque em 29 de junhoth, 2022, distribuindo e-mails de spearphishing com anexo malicioso aos alvos. O assunto do e-mail era SNS用動画拡散のお願い (tradução do Google Tradutor: [Importante] Solicitação de divulgação de vídeos para SNS). A Figura 1 e a Figura 2 mostram seu conteúdo.
Alegando ser o departamento de relações públicas de um partido político japonês, o MirrorFace pediu aos destinatários que distribuíssem os vídeos anexados em seus próprios perfis de mídia social (SNS – Social Network Service) para fortalecer ainda mais as relações públicas do partido e garantir a vitória na Câmara dos Vereadores. Além disso, o e-mail traz instruções claras sobre a estratégia de publicação dos vídeos.
Como a eleição da Câmara dos Conselheiros foi realizada em 10 de julhoth, 2022, este e-mail indica claramente que MirrorFace buscou a oportunidade de atacar entidades políticas. Além disso, o conteúdo específico do e-mail indica que membros de um determinado partido político foram visados.
MirrorFace também usou outro e-mail de spearphishing na campanha, onde o anexo foi intitulado 【参考】220628発・選挙管理委員会宛文書(添書分).exe (tradução do Google Tradutor: [Referência] 220628 Documentos do Ministério do Comitê de Administração Eleitoral (apêndice).exe). O documento chamariz anexo (mostrado na Figura 3) também faz referência à eleição da Câmara dos Conselheiros.
Em ambos os casos, os e-mails continham anexos maliciosos na forma de arquivos WinRAR autoextraíveis com nomes enganosos SNS用動画 拡散のお願い.exe (tradução do Google Tradutor: Pedido de divulgação de vídeos para SNS.exe) e 【参考】220628発・選挙管理委員会宛文書(添書分).exe (tradução do Google Tradutor: [Referência] 220628 Documentos do Ministério do Comitê de Administração Eleitoral (apêndice).exe) respectivamente.
Esses EXEs extraem seu conteúdo arquivado no % TEMP% pasta. Em particular, quatro arquivos são extraídos:
- K7SysMon.exe, um aplicativo benigno desenvolvido pela K7 Computing Pvt Ltd vulnerável ao sequestro de pedidos de pesquisa de DLL
- K7SysMn1.dll, um carregador malicioso
- K7SysMon.Exe.db, malware LODEINFO criptografado
- Um documento isca
Em seguida, o documento isca é aberto para enganar o alvo e parecer benigno. Como último passo, K7SysMon.exe é executado que carrega o carregador malicioso K7SysMn1.dll caiu ao lado dela. Finalmente, o carregador lê o conteúdo de K7SysMon.Exe.db, o descriptografa e o executa. Observe que essa abordagem também foi observada pela Kaspersky e descrita em seu Denunciar.
Toolset
Nesta seção, descrevemos o malware MirrorFace utilizado na Operação LiberalFace.
LODEINFO
LODEINFO é um backdoor MirrorFace que está em desenvolvimento contínuo. JPCERT relatou sobre a primeira versão do LODEINFO (v0.1.2), que surgiu por volta de dezembro de 2019; sua funcionalidade permite capturar capturas de tela, keylogging, eliminar processos, exfiltrar arquivos e executar arquivos e comandos adicionais. Desde então, temos observado diversas alterações introduzidas em cada uma de suas versões. Por exemplo, a versão 0.3.8 (que detectamos pela primeira vez em junho de 2020) adicionou o comando resgate (que criptografa arquivos e pastas definidos) e a versão 0.5.6 (que detectamos em julho de 2021) adicionou o comando configuração, que permite aos operadores modificar sua configuração armazenada no registro. Além do relatório JPCERT mencionado acima, uma análise detalhada do backdoor LODEINFO também foi publicada no início deste ano por Kaspersky.
Na Operação LiberalFace, observamos operadores MirrorFace utilizando tanto o LODEINFO regular quanto o que chamamos de malware LODEINFO de segundo estágio. O LODEINFO de segundo estágio pode ser distinguido do LODEINFO regular observando a funcionalidade geral. Em particular, o LODEINFO de segundo estágio aceita e executa binários PE e shellcode fora dos comandos implementados. Além disso, o LODEINFO de segundo estágio pode processar o comando C&C configuração, mas a funcionalidade para o comando resgate está faltando.
Finalmente, os dados recebidos do servidor C&C diferem entre o LODEINFO regular e o de segundo estágio. Para o LODEINFO de segundo estágio, o servidor C&C anexa o conteúdo aleatório da página da Web aos dados reais. Consulte a Figura 4, a Figura 5 e a Figura 6 que descrevem a diferença de dados recebidos. Observe que o trecho de código anexado difere para cada fluxo de dados recebido do C&C de segundo estágio.
MirrorStealer
MirrorStealer, nomeado internamente 31558_n.dll por MirrorFace, é um ladrão de credenciais. Até onde sabemos, esse malware não foi descrito publicamente. Em geral, o MirrorStealer rouba credenciais de vários aplicativos, como navegadores e clientes de e-mail. Curiosamente, um dos aplicativos visados é Becky!, um cliente de e-mail atualmente disponível apenas no Japão. Todas as credenciais roubadas são armazenadas em %TEMP%31558.txt e como o MirrorStealer não tem a capacidade de exfiltrar os dados roubados, ele depende de outro malware para fazer isso.
Atividades pós-compromisso
Durante nossa pesquisa, pudemos observar alguns dos comandos que foram emitidos para computadores comprometidos.
Observação inicial do ambiente
Depois que o LODEINFO foi iniciado nas máquinas comprometidas e elas se conectaram com sucesso ao servidor C&C, um operador começou a emitir comandos (consulte a Figura 7).
Primeiro, o operador emitiu um dos comandos LODEINFO, impressão, para capturar a tela da máquina comprometida. Isso foi seguido por outro comando, ls, para ver o conteúdo da pasta atual na qual LODEINFO residia (ou seja, % TEMP%). Logo em seguida, a operadora utilizou o LODEINFO para obter informações da rede executando visão de rede e visualização líquida / domínio. O primeiro comando retorna a lista de computadores conectados à rede, enquanto o segundo retorna a lista de domínios disponíveis.
Roubo de credenciais e cookies do navegador
Após coletar essas informações básicas, o operador passou para a próxima fase (consulte a Figura 8).
O operador emitiu o comando LODEINFO send com o subcomando -memória para entregar MirrorStealer malware para a máquina comprometida. O subcomando -memória foi usado para indicar ao LODEINFO para manter o MirrorStealer em sua memória, o que significa que o binário do MirrorStealer nunca foi descartado no disco. Posteriormente, o comando memória foi emitido. Este comando instruiu o LODEINFO a pegar o MirrorStealer, injetá-lo no cmd.exe processo e execute-o.
Depois que o MirrorStealer coletou as credenciais e as armazenou em %temp%31558.txt, o operador usou LODEINFO para exfiltrar as credenciais.
O operador também estava interessado nos cookies do navegador da vítima. No entanto, o MirrorStealer não possui a capacidade de coletá-los. Portanto, o operador exfiltrou os cookies manualmente via LODEINFO. Primeiro, o operador usou o comando LODEINFO dir para listar o conteúdo das pastas % LocalAppData% GoogleChromeUser Data e %LocalAppData%MicrosoftEdgeDados do usuário. Em seguida, o operador copiou todos os arquivos de cookies identificados no % TEMP% pasta. Em seguida, o operador extraiu todos os arquivos de cookies coletados usando o comando LODEINFO recv. Finalmente, o operador excluiu os arquivos de cookies copiados do % TEMP% pasta em uma tentativa de remover os vestígios.
Roubo de documentos e e-mail
Na próxima etapa, o operador extraiu documentos de vários tipos, bem como e-mails armazenados (consulte a Figura 9).
Para isso, a operadora primeiro utilizou o LODEINFO para entregar o arquivador WinRAR (rar.exe). Usando rar.exe, o operador coletou e arquivou arquivos de interesse que foram modificados após 2022-01-01 das pastas %USERPROFILE% e C:$Recycle.Bin. O operador estava interessado em todos esses arquivos com as extensões .documento*, .ppt*, .xls*, .jtd, .eml, .*xps e .pdf.
Observe que além dos tipos comuns de documentos, MirrorFace também estava interessado em arquivos com a .jtd extensão. Isso representa documentos do processador de texto japonês Ichitarô desenvolvido pela JustSystems.
Uma vez criado o arquivo, o operador entregava o cliente Secure Copy Protocol (SCP) do PuTTY contínuo (pscp.exe) e, em seguida, usou-o para exfiltrar o arquivo RAR recém-criado para o servidor em 45.32.13[.]180. Esse endereço IP não foi observado na atividade anterior do MirrorFace e não foi usado como um servidor C&C em nenhum malware LODEINFO que observamos. Logo após o arquivo ser exfiltrado, o operador deletou rar.exe, pscp.exe, e o arquivo RAR para limpar os rastros da atividade.
Implantação de LODEINFO de segundo estágio
A última etapa que observamos foi a entrega do LODEINFO de segundo estágio (consulte a Figura 10).
O operador entregou os seguintes binários: JSESPR.dll, JsSchHlp.exe e vcruntime140.dll para a máquina comprometida. O original JsSchHlp.exe é um aplicativo benigno assinado pela JUSTSYSTEMS CORPORATION (fabricantes do processador de texto japonês mencionado anteriormente, Ichitaro). No entanto, neste caso, o operador MirrorFace abusou de uma verificação de assinatura digital conhecida da Microsoft emitem e dados criptografados RC4 anexados ao JsSchHlp.exe assinatura digital. Devido ao problema mencionado, o Windows ainda considera o JsSchHlp.exe ser validamente assinado.
JsSchHlp.exe também é suscetível ao carregamento lateral de DLL. Portanto, após a execução, o plantado JSESPR.dll é carregado (veja a Figura 11).
JSESPR.dll é um carregador malicioso que lê a carga anexada de JsSchHlp.exe, o descriptografa e o executa. A carga útil é o LODEINFO de segundo estágio e, uma vez em execução, o operador utilizou o LODEINFO regular para definir a persistência do segundo estágio. Em particular, o operador executou o reg.exe utilitário para adicionar um valor chamado JsSchHlp ao Execute chave de registro segurando o caminho para JsSchHlp.exe.
No entanto, parece-nos que o operador não conseguiu fazer com que o LODEINFO de segundo estágio se comunicasse corretamente com o servidor C&C. Portanto, quaisquer outras etapas do operador utilizando o LODEINFO de segundo estágio permanecem desconhecidas para nós.
Observações interessantes
Durante a investigação, fizemos algumas observações interessantes. Um deles é que o operador cometeu alguns erros e erros de digitação ao emitir comandos para LODEINFO. Por exemplo, o operador enviou a string cmd /c diretório “c:use” para LODEINFO, que provavelmente deveria ser cmd /c dir “c:usuários”.
Isso sugere que o operador está emitindo comandos para LODEINFO de maneira manual ou semi-manual.
Nossa próxima observação é que, embora o operador tenha feito algumas limpezas para remover vestígios do comprometimento, o operador esqueceu de excluir %temp%31558.txt – o log contendo as credenciais roubadas. Assim, pelo menos esse traço permaneceu na máquina comprometida e nos mostra que o operador não foi minucioso no processo de limpeza.
Conclusão
MirrorFace continua mirando alvos de alto valor no Japão. Na Operação LiberalFace, ele visou especificamente entidades políticas usando a então próxima eleição da Câmara dos Conselheiros a seu favor. Mais interessante, nossas descobertas indicam que o MirrorFace é particularmente focado nos membros de um partido político específico.
Durante a investigação da Operação LiberalFace, conseguimos descobrir mais TTPs MirrorFace, como a implantação e utilização de malware e ferramentas adicionais para coletar e exfiltrar dados valiosos das vítimas. Além disso, nossa investigação revelou que os operadores do MirrorFace são um tanto descuidados, deixando rastros e cometendo vários erros.
A ESET Research também oferece relatórios de inteligência APT privados e feeds de dados. Para qualquer dúvida sobre este serviço, visite o Inteligência de ameaças ESET Disputas de Comerciais.
IoCs
Arquivos
SHA-1 | Nome do arquivo | nome de detecção ESET | Descrição |
---|---|---|---|
F4691FF3B3ACD15653684F372285CAC36C8D0AEF | K7SysMn1.dll | Win32/Agente.ACLP | Carregador LODEINFO. |
DB81C8719DDAAE40C8D9B9CA103BBE77BE4FCE6C | K7SysMon.Exe.db | N/D | LODEINFO criptografado. |
A8D2BE15085061B753FDEBBDB08D301A034CE1D5 | JsSchHlp.exe | Win32/Agente.ACLP | JsSchHlp.exe com LODEINFO de segundo estágio criptografado anexado no diretório de segurança. |
0AB7BB3FF583E50FBF28B288E71D3BB57F9D1395 | JSESPR.dll | Win32/Agente.ACLP | Carregador LODEINFO de segundo estágio. |
E888A552B00D810B5521002304D4F11BC249D8ED | 31558_n.dll | Win32/Agente.ACLP | Ladrão de credenciais MirrorStealer. |
Network
IP | provedor do cliente | Visto pela primeira vez | Adicionar ao carrinho |
---|---|---|---|
5.8.95[.]174 | G-Core Labs SA | 2022-06-13 | Servidor LODEINFO C&C. |
45.32.13[.]180 | AS-CHOOPA | 2022-06-29 | Servidor para exfiltração de dados. |
103.175.16[.]39 | Hospedagem Gigabit Sdn Bhd | 2022-06-13 | Servidor LODEINFO C&C. |
167.179.116[.]56 | AS-CHOOPA | 2021-10-20 | www.ninesmn[.]com, servidor LODEINFO C&C de segundo estágio. |
172.105.217[.]233 | Linode, LLC | 2021-11-14 | www.aesorunwe[.]com, servidor LODEINFO C&C de segundo estágio. |
Técnicas MITER ATT e CK
Esta tabela foi construída usando versão 12 da estrutura MITRE ATT&CK.
Observe que, embora esta postagem no blog não forneça uma visão geral completa dos recursos do LODEINFO porque essas informações já estão disponíveis em outras publicações, a tabela MITRE ATT&CK abaixo contém todas as técnicas associadas a ela.
Tática | ID | Nome | Descrição |
---|---|---|---|
Acesso Inicial | T1566.001 | Phishing: anexo de spearphishing | Um arquivo WinRAR SFX malicioso está anexado a um e-mail de spearphishing. |
Execução | T1106 | API nativa | LODEINFO pode executar arquivos usando o CriarProcessoA API. |
T1204.002 | Execução do usuário: arquivo malicioso | Os operadores do MirrorFace dependem de uma vítima abrindo um anexo malicioso enviado por e-mail. | |
T1559.001 | Comunicação entre processos: modelo de objeto componente | LODEINFO pode executar comandos via Component Object Model. | |
Persistência | T1547.001 | Execução de inicialização automática de inicialização ou logon: chaves de execução do registro/pasta de inicialização | LODEINFO adiciona uma entrada ao Execução HKCU chave para garantir a persistência.
Observamos os operadores MirrorFace adicionando manualmente uma entrada ao Execução HKCU chave para garantir persistência para o segundo estágio LODEINFO. |
Evasão de Defesa | T1112 | Modificar Registro | LODEINFO pode armazenar sua configuração no registro. |
T1055 | Injeção de processo | LODEINFO pode injetar shellcode em cmd.exe. | |
T1140 | Desofuscar / decodificar arquivos ou informações | O carregador LODEINFO descriptografa uma carga útil usando um XOR ou RC4 de byte único. | |
T1574.002 | Fluxo de execução de sequestro: carregamento lateral de DLL | MirrorFace carrega de lado LODEINFO soltando uma biblioteca maliciosa e um executável legítimo (por exemplo, K7SysMon.exe). | |
Discovery | T1082 | Descoberta de informações do sistema | LODEINFO imprime as impressões digitais da máquina comprometida. |
T1083 | Descoberta de arquivos e diretórios | LODEINFO pode obter listagens de arquivos e diretórios. | |
T1057 | Descoberta de Processo | LODEINFO pode listar processos em execução. | |
T1033 | Proprietário do sistema/descoberta de usuário | LODEINFO pode obter o nome de usuário da vítima. | |
T1614.001 | Descoberta de localização do sistema: Descoberta de idioma do sistema | O LODEINFO verifica o idioma do sistema para verificar se ele não está sendo executado em uma máquina configurada para usar o idioma inglês. | |
Coleção | T1560.001 | Arquivar dados coletados: arquivar via utilitário | Observamos os operadores do MirrorFace arquivando os dados coletados usando o arquivador RAR. |
T1114.001 | Coleta de e-mail: coleção de e-mail local | Observamos operadores MirrorFace coletando mensagens de e-mail armazenadas. | |
T1056.001 | Captura de entrada: Keylogging | LODEINFO executa keylogging. | |
T1113 | Screen Capture | LODEINFO pode obter uma captura de tela. | |
T1005 | Dados do sistema local | Observamos operadores MirrorFace coletando e exfiltrando dados de interesse. | |
Comando e controle | T1071.001 | Protocolo de camada de aplicativo: protocolos da Web | LODEINFO usa o protocolo HTTP para se comunicar com seu servidor C&C. |
T1132.001 | Codificação de Dados: Codificação Padrão | LODEINFO usa base64 seguro para URL para codificar seu tráfego C&C. | |
T1573.001 | Canal criptografado: criptografia simétrica | LODEINFO usa AES-256-CBC para criptografar o tráfego C&C. | |
T1001.001 | Ofuscação de dados: dados indesejados | LODEINFO C&C de segundo estágio adiciona lixo aos dados enviados. | |
exfiltration | T1041 | Exfiltração no canal C2 | LODEINFO pode exfiltrar arquivos para o servidor C&C. |
T1071.002 | Protocolo de camada de aplicativo: protocolos de transferência de arquivos | Observamos o MirrorFace usando o Secure Copy Protocol (SCP) para exfiltrar os dados coletados. | |
Impacto | T1486 | Dados criptografados para impacto | LODEINFO pode criptografar arquivos na máquina da vítima. |
- blockchain
- Coingenius
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Departamento de Segurança Interna
- carteiras digitais
- Pesquisa ESET
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- Nós Vivemos Segurança
- a segurança do website
- zefirnet