Cercetătorii ESET au descoperit o campanie de spearphishing care vizează entități politice japoneze cu câteva săptămâni înainte de alegerile pentru Camera Consilierilor și, în acest proces, au descoperit un furator de acreditări MirrorFace nedescris anterior.
Cercetătorii ESET au descoperit o campanie de spearphishing, lansată în săptămânile premergătoare Alegerea Camerei Consilierilor din Japonia în iulie 2022, de către grupul APT pe care ESET Research îl urmărește ca MirrorFace. Campania, pe care am numit-o Operațiunea LiberalFace, a vizat entități politice japoneze; ancheta noastră a relevat faptul că membrii unui anumit partid politic au avut o atenție deosebită în această campanie. ESET Research a demascat detalii despre această campanie și despre grupul APT din spatele ei la Conferinta AVAR 2022 la începutul acestei luni.
- La sfârșitul lunii iunie 2022, MirrorFace a lansat o campanie, pe care am numit-o Operațiunea LiberalFace, care a vizat entități politice japoneze.
- Mesajele de e-mail de spearphishing care conțin LODEINFO, ușa emblematică a grupului, au fost trimise țintelor.
- LODEINFO a fost folosit pentru a furniza programe malware suplimentare, pentru a exfiltra acreditările victimei și pentru a fura documentele și e-mailurile victimei.
- Un furt de acreditări nedescris anterior pe care l-am numit MirrorStealer a fost folosit în Operațiunea LiberalFace.
- ESET Research a efectuat o analiză a activităților post-compromis, ceea ce sugerează că acțiunile observate au fost efectuate într-o manieră manuală sau semi-manuală.
- Detalii despre această campanie au fost distribuite la adresa Conferinta AVAR 2022.
MirrorFace este un actor de amenințări vorbitor de limbă chineză care vizează companii și organizații cu sediul în Japonia. Deși există unele speculații că acest actor de amenințare ar putea fi legat de APT10 (Macnica, Kaspersky), ESET nu poate să-l atribuie niciunui grup APT cunoscut. Prin urmare, îl urmărim ca o entitate separată pe care am numit-o MirrorFace. În special, MirrorFace și LODEINFO, malware-ul său proprietar utilizat exclusiv împotriva țintelor din Japonia, au fost raportate ca vizează mass-media, companii legate de apărare, grupuri de reflecție, organizații diplomatice și instituții academice. Scopul MirrorFace este spionajul și exfiltrarea fișierelor de interes.
Atribuim Operațiunea LiberalFace lui MirrorFace pe baza acestor indicatori:
- După cunoștințele noastre, malware-ul LODEINFO este utilizat exclusiv de MirrorFace.
- Țintele operațiunii LiberalFace se aliniază cu direcționarea tradițională MirrorFace.
- Un eșantion de malware LODEINFO din a doua etapă a contactat un server C&C pe care îl urmărim intern ca parte a infrastructurii MirrorFace.
Unul dintre e-mailurile de tip spearphishing trimise în cadrul Operațiunii LiberalFace a reprezentat o comunicare oficială din partea departamentului de relații publice al unui anumit partid politic japonez, care conținea o solicitare legată de alegerile pentru Camera Consilierilor și se presupune că a fost trimis în numele unui politician proeminent. Toate e-mailurile de spearphishing conțineau un atașament rău intenționat care, la executare, a implementat LODEINFO pe mașina compromisă.
În plus, am descoperit că MirrorFace a folosit programe malware nedocumentate anterior, pe care l-am numit MirrorStealer, pentru a fura acreditările țintei sale. Credem că este prima dată când acest malware este descris public.
În această postare pe blog, acoperim activitățile observate post-compromis, inclusiv comenzile C&C trimise către LODEINFO pentru a efectua acțiunile. Pe baza anumitor activități efectuate pe mașina afectată, credem că operatorul MirrorFace a emis comenzi către LODEINFO în mod manual sau semi-manual.
Acces inițial
MirrorFace a început atacul pe 29 iunieth, 2022, distributing spearphishing emails with a malicious attachment to the targets. The subject of the email was SNS用動画 拡散のお願い (traducere din Google Translate: [Important] Request for spreading videos for SNS). Figura 1 și Figura 2 arată conținutul acestuia.
Pretinzând a fi departamentul de PR al unui partid politic japonez, MirrorFace le-a cerut destinatarilor să distribuie videoclipurile atașate pe propriile profiluri de rețele sociale (SNS – Social Network Service) pentru a consolida și mai mult PR-ul partidului și pentru a asigura victoria în Camera Consilierilor. În plus, e-mailul oferă instrucțiuni clare cu privire la strategia de publicare a videoclipurilor.
Deoarece alegerile pentru Camera Consilierilor au avut loc pe 10 iulieth, 2022, acest e-mail indică clar că MirrorFace a căutat oportunitatea de a ataca entități politice. De asemenea, conținutul specific din e-mail indică faptul că membrii unui anumit partid politic au fost vizați.
MirrorFace a folosit și un alt e-mail de spearphishing în campanie, unde atașamentul a fost intitulat 【参考】220628発・選挙管理委員会宛文書(添書分).executabil (traducere din Google Translate: [Reference] 220628 Documents from the Ministry of to election administration committee (appendix).exe). Documentul de momeală atașat (prezentat în Figura 3) face referire și la alegerea Camerei Consilierilor.
In both cases, the emails contained malicious attachments in the form of self-extracting WinRAR archives with deceptive names SNS用動画 拡散のお願い.executabil (traducere din Google Translate: Solicitare de difuzare a videoclipurilor pentru SNS.exe) și 【参考】220628発・選挙管理委員会宛文書(添書分).executabil (traducere din Google Translate: [Reference] 220628 Documents from the Ministry of to election administration committee (appendix).exe) respectiv.
Aceste EXE-uri extrag conținutul arhivat în fișierul % TEMP% pliant. În special, sunt extrase patru fișiere:
- K7SysMon.exe, o aplicație benignă dezvoltată de K7 Computing Pvt Ltd vulnerabilă la deturnarea ordinului de căutare DLL
- K7SysMn1.dll, un încărcător rău intenționat
- K7SysMon.Exe.db, malware LODEINFO criptat
- Un document de momeală
Apoi, documentul de momeală este deschis pentru a înșela ținta și pentru a părea benign. Ca ultim pas, K7SysMon.exe este executat care încarcă încărcătorul rău intenționat K7SysMn1.dll scăpat alături de ea. În cele din urmă, încărcătorul citește conținutul K7SysMon.Exe.db, îl decriptează și apoi îl execută. Rețineți că această abordare a fost observată și de Kaspersky și descrisă în documentul lor raportează.
Set de scule
În această secțiune, descriem malware-ul MirrorFace utilizat în Operațiunea LiberalFace.
LODEINFO
LODEINFO este o ușă din spate MirrorFace care este în continuă dezvoltare. JPCERT a raportat despre prima versiune din LODEINFO (v0.1.2), care a apărut în jurul lunii decembrie 2019; funcționalitatea sa permite capturarea de capturi de ecran, înregistrarea tastelor, uciderea proceselor, exfiltrarea fișierelor și executarea de fișiere și comenzi suplimentare. De atunci, am observat câteva modificări introduse în fiecare dintre versiunile sale. De exemplu, versiunea 0.3.8 (pe care am detectat-o pentru prima dată în iunie 2020) a adăugat comanda răscumpărare (care criptează fișierele și folderele definite), iar versiunea 0.5.6 (pe care am detectat-o în iulie 2021) a adăugat comanda config, care permite operatorilor să-și modifice configurația stocată în registru. Pe lângă raportarea JPCERT menționată mai sus, o analiză detaliată a ușii din spate LODEINFO a fost publicată și la începutul acestui an de către Kaspersky.
În Operațiunea LiberalFace, am observat operatorii MirrorFace care utilizează atât LODEINFO obișnuit, cât și ceea ce numim malware-ul LODEINFO din a doua etapă. LODEINFO din a doua etapă poate fi distinsă de LODEINFO obișnuit prin analizarea funcționalității generale. În special, a doua etapă LODEINFO acceptă și rulează binare PE și cod shell în afara comenzilor implementate. Mai mult, a doua etapă LODEINFO poate procesa comanda C&C config, dar funcționalitatea pentru comandă răscumpărare lipseste.
În cele din urmă, datele primite de la serverul C&C diferă între LODEINFO obișnuit și cel din a doua etapă. Pentru a doua etapă LODEINFO, serverul C&C adaugă conținutul aleatoriu al paginii web la datele reale. Vezi Figura 4, Figura 5 și Figura 6 care prezintă diferența de date primite. Observați că fragmentul de cod anexat diferă pentru fiecare flux de date primit din a doua etapă C&C.
MirrorStealer
MirrorStealer, numit intern 31558_n.dll de MirrorFace, este un furt de acreditări. Din câte știm, acest malware nu a fost descris public. În general, MirrorStealer fură acreditările din diverse aplicații, cum ar fi browsere și clienți de e-mail. Interesant, una dintre aplicațiile vizate este Becky!, un client de e-mail care este disponibil momentan numai în Japonia. Toate acreditările furate sunt stocate în %TEMP%31558.txt și, deoarece MirrorStealer nu are capacitatea de a exfiltra datele furate, depinde de alte programe malware pentru a face acest lucru.
Activități post-compromis
În timpul cercetării noastre, am putut observa unele dintre comenzile care au fost emise computerelor compromise.
Observarea inițială a mediului
Odată ce LODEINFO a fost lansat pe mașinile compromise și acestea s-au conectat cu succes la serverul C&C, un operator a început să emită comenzi (vezi Figura 7).
Mai întâi, operatorul a emis una dintre comenzile LODEINFO, imprima, pentru a captura ecranul mașinii compromise. Aceasta a fost urmată de o altă comandă, ls, pentru a vedea conținutul folderului curent în care a locuit LODEINFO (adică, % TEMP%). Imediat după aceea, operatorul a folosit LODEINFO pentru a obține informații despre rețea prin rulare vedere netă și vedere net /domeniu. Prima comandă returnează lista computerelor conectate la rețea, în timp ce a doua returnează lista domeniilor disponibile.
Furtul de acreditări și cookie-uri din browser
După ce a colectat aceste informații de bază, operatorul a trecut la următoarea fază (vezi Figura 8).
Operatorul a emis comanda LODEINFO send cu subcomanda -memorie a livra MirrorStealer malware la mașina compromisă. Subcomanda -memorie a fost folosit pentru a indica lui LODEINFO să păstreze MirrorStealer în memorie, ceea ce înseamnă că binarul MirrorStealer nu a fost niciodată aruncat pe disc. Ulterior, comanda memorie a fost emis. Această comandă a instruit LODEINFO să ia MirrorStealer, să-l injecteze în materialul generat cmd.exe proces și rulați-l.
Odată ce MirrorStealer a colectat acreditările și le-a stocat %temp%31558.txt, operatorul a folosit LODEINFO pentru a exfiltra acreditările.
Operatorul a fost interesat și de cookie-urile de browser ale victimei. Cu toate acestea, MirrorStealer nu are capacitatea de a le colecta. Prin urmare, operatorul a exfiltrat cookie-urile manual prin LODEINFO. Mai întâi, operatorul a folosit comanda LODEINFO dir pentru a lista conținutul folderelor %LocalAppData%GoogleChromeUser Data și %LocalAppData%MicrosoftEdgeUser Data. Apoi, operatorul a copiat toate fișierele cookie identificate în fișierul % TEMP% pliant. Apoi, operatorul a exfiltrat toate fișierele cookie colectate folosind comanda LODEINFO recv. În cele din urmă, operatorul a șters fișierele cookie copiate din % TEMP% folder în încercarea de a elimina urmele.
Furtul de documente și e-mailuri
În pasul următor, operatorul a exfiltrat documente de diferite tipuri, precum și e-mailuri stocate (vezi Figura 9).
Pentru aceasta, operatorul a folosit mai întâi LODEINFO pentru a livra arhivatorul WinRAR (rar.exe). Utilizarea rar.exe, operatorul a colectat si arhivat fisiere de interes care au fost modificate dupa 2022-01-01 din foldere %USERPROFILE% și C:$Recycle.Bin. Operatorul a fost interesat de toate astfel de fișiere cu extensiile .doc*, .ppt*, .xls*, .jtd, eml, .*xps, și . Pdf.
Observați că, pe lângă tipurile obișnuite de documente, MirrorFace a fost interesat și de fișierele cu .jtd extensie. Acesta reprezintă documente ale procesorului de text japonez Ichitaro dezvoltat de JustSystems.
Odată ce arhiva a fost creată, operatorul a livrat clientul Secure Copy Protocol (SCP) de la PuTTY a continuat (pscp.exe) și apoi l-a folosit pentru a exfiltra arhiva RAR tocmai creată pe server la 45.32.13[.]180. Această adresă IP nu a fost observată în activitatea anterioară MirrorFace și nu a fost folosită ca server C&C în niciun program malware LODEINFO pe care l-am observat. Imediat după ce arhiva a fost exfiltrată, operatorul a șters rar.exe, pscp.exe, și arhiva RAR pentru a curăța urmele activității.
Desfășurarea LODEINFO a doua etapă
Ultimul pas pe care l-am observat a fost livrarea celei de-a doua etape a LODEINFO (vezi Figura 10).
Operatorul a livrat următoarele binare: JSESPR.dll, JsSchHlp.exe, și vcruntime140.dll la mașina compromisă. Originalul JsSchHlp.exe este o aplicație benignă semnată de JUSTSYSTEMS CORPORATION (producătorii procesorului de text japonez menționat anterior, Ichitaro). Cu toate acestea, în acest caz, operatorul MirrorFace a abuzat de o verificare cunoscută a semnăturii digitale Microsoft problema și a adăugat date criptate RC4 la JsSchHlp.exe semnatura digitala. Din cauza problemei menționate, Windows încă consideră modificată JsSchHlp.exe să fie valabil semnate.
JsSchHlp.exe este, de asemenea, susceptibil la încărcarea laterală a DLL. Prin urmare, la execuție, plantat JSESPR.dll este încărcat (vezi Figura 11).
JSESPR.dll este un încărcător rău intenționat care citește sarcina utilă atașată de la JsSchHlp.exe, îl decriptează și îl rulează. Sarcina utilă este LODEINFO din a doua etapă, iar odată ce a rulat, operatorul a folosit LODEINFO obișnuit pentru a seta persistența pentru etapa a doua. În special, operatorul a condus reg.exe utilitar pentru a adăuga o valoare numită JsSchHlp la Alerga cheie de registry care deține calea către JsSchHlp.exe.
Cu toate acestea, ni se pare că operatorul nu a reușit să facă din a doua etapă LODEINFO să comunice corect cu serverul C&C. Prin urmare, orice etapă suplimentară a operatorului care utilizează LODEINFO a doua etapă ne rămâne necunoscută.
Observații interesante
În timpul investigației, am făcut câteva observații interesante. Una dintre ele este că operatorul a făcut câteva erori și greșeli de scriere la lansarea comenzilor către LODEINFO. De exemplu, operatorul a trimis șirul cmd /c dir „c:use” la LODEINFO, care cel mai probabil ar fi trebuit să fie cmd /c dir „c: utilizatori”.
Aceasta sugerează că operatorul emite comenzi către LODEINFO într-un mod manual sau semi-manual.
Următoarea noastră observație este că, deși operatorul a efectuat câteva curățări pentru a elimina urmele compromisului, operatorul a uitat să ștergă %temp%31558.txt – jurnalul care conține acreditările furate. Astfel, cel puțin această urmă a rămas pe mașina compromisă și ne arată că operatorul nu a fost minuțios în procesul de curățare.
Concluzie
MirrorFace continuă să urmărească ținte de mare valoare în Japonia. În Operațiunea LiberalFace, a vizat în mod specific entitățile politice, folosindu-se alegerile pentru Camera Consilierilor care urmau atunci în avantajul său. Mai interesant, constatările noastre indică MirrorFace concentrat în special pe membrii unui anumit partid politic.
În timpul investigației Operațiunea LiberalFace, am reușit să descoperim alte TTP-uri MirrorFace, cum ar fi implementarea și utilizarea de programe malware și instrumente suplimentare pentru a colecta și a exfiltra date valoroase de la victime. Mai mult, ancheta noastră a relevat că operatorii MirrorFace sunt oarecum neglijenți, lăsând urme și comit diverse greșeli.
ESET Research oferă, de asemenea, rapoarte private de informații APT și fluxuri de date. Pentru orice întrebări despre acest serviciu, vizitați ESET Threat Intelligence .
IoC-uri
Fişiere
SHA-1 | Filename | Nume de detectare ESET | Descriere |
---|---|---|---|
F4691FF3B3ACD15653684F372285CAC36C8D0AEF | K7SysMn1.dll | Win32/Agent.ACLP | încărcător LODEINFO. |
DB81C8719DDAAE40C8D9B9CA103BBE77BE4FCE6C | K7SysMon.Exe.db | - | LODEINFO criptat. |
A8D2BE15085061B753FDEBBDB08D301A034CE1D5 | JsSchHlp.exe | Win32/Agent.ACLP | JsSchHlp.exe cu LODEINFO a doua etapă criptată atașată în directorul de securitate. |
0AB7BB3FF583E50FBF28B288E71D3BB57F9D1395 | JSESPR.dll | Win32/Agent.ACLP | Incarcator LODEINFO treapta a doua. |
E888A552B00D810B5521002304D4F11BC249D8ED | 31558_n.dll | Win32/Agent.ACLP | Furtul de acreditări MirrorStealer. |
Reţea
IP | Furnizor de | Văzut pentru prima dată | Detalii |
---|---|---|---|
5.8.95[.]174 | G-Core Labs SA | 2022-06-13 | Server LODEINFO C&C. |
45.32.13[.]180 | AS-CHOOPA | 2022-06-29 | Server pentru exfiltrarea datelor. |
103.175.16[.]39 | Gigabit Hosting Sdn Bhd | 2022-06-13 | Server LODEINFO C&C. |
167.179.116[.]56 | AS-CHOOPA | 2021-10-20 | www.ninesmn[.]com, a doua etapă a serverului LODEINFO C&C. |
172.105.217[.]233 | Linode, LLC | 2021-11-14 | www.aesorunwe[.]com, a doua etapă a serverului LODEINFO C&C. |
Tehnici MITRE ATT&CK
Acest tabel a fost construit folosind Versiunea 12 din cadrul MITRE ATT&CK.
Rețineți că, deși această postare de blog nu oferă o prezentare completă a capabilităților LODEINFO, deoarece aceste informații sunt deja disponibile în alte publicații, tabelul MITRE ATT&CK de mai jos conține toate tehnicile asociate cu acesta.
tactică | ID | Nume si Prenume | Descriere |
---|---|---|---|
Acces inițial | T1566.001 | Phishing: Atașament de spearphishing | O arhivă WinRAR SFX rău intenționată este atașată unui e-mail de spearphishing. |
Execuție | T1106 | API nativ | LODEINFO poate executa fișiere folosind CreateProcessA API-ul. |
T1204.002 | Execuție utilizator: fișier rău intenționat | Operatorii MirrorFace se bazează pe o victimă care deschide un atașament rău intenționat trimis prin e-mail. | |
T1559.001 | Comunicare între procese: model obiect componente | LODEINFO poate executa comenzi prin Component Object Model. | |
Persistență | T1547.001 | Execuție de pornire automată de pornire sau de conectare: chei de rulare a registrului / folder de pornire | LODEINFO adaugă o intrare la HKCU Run cheie pentru a asigura persistența.
Am observat că operatorii MirrorFace adaugă manual o intrare la HKCU Run cheie pentru a asigura persistența pentru a doua etapă LODEINFO. |
Evaziunea apărării | T1112 | Modificați registrul | LODEINFO își poate stoca configurația în registru. |
T1055 | Injecție de proces | LODEINFO poate injecta shellcode în cmd.exe. | |
T1140 | Deofuscați/Decodificați fișierele sau informațiile | Încărcătorul LODEINFO decriptează o sarcină utilă folosind un XOR sau RC4 pe un singur octet. | |
T1574.002 | Flux de execuție a deturnării: DLL-încărcare laterală | MirrorFace încarcă lateral LODEINFO prin eliminarea unei biblioteci rău intenționate și a unui executabil legitim (de exemplu, K7SysMon.exe). | |
Descoperire | T1082 | Descoperirea informațiilor de sistem | LODEINFO preia amprentele mașinii compromise. |
T1083 | Descoperirea fișierelor și a directorului | LODEINFO poate obține liste de fișiere și directoare. | |
T1057 | Descoperirea proceselor | LODEINFO poate lista procesele care rulează. | |
T1033 | Descoperire proprietar/utilizator de sistem | LODEINFO poate obține numele de utilizator al victimei. | |
T1614.001 | System Location Discovery: System Language Discovery | LODEINFO verifică limba sistemului pentru a verifica dacă nu rulează pe o mașină setată să folosească limba engleză. | |
Colectie | T1560.001 | Arhivați datele colectate: Arhivați prin utilitar | Am observat operatorii MirrorFace care arhivează datele colectate folosind arhivatorul RAR. |
T1114.001 | Colectare e-mail: Colectare locală e-mail | Am observat operatorii MirrorFace care colectau mesaje de e-mail stocate. | |
T1056.001 | Captură de intrare: înregistrarea tastelor | LODEINFO efectuează înregistrarea tastelor. | |
T1113 | Captură de ecran | LODEINFO poate obține o captură de ecran. | |
T1005 | Date din sistemul local | Am observat operatorii MirrorFace care colectau și exfiltreu date de interes. | |
Comandă și Control | T1071.001 | Protocolul stratului de aplicație: protocoale web | LODEINFO folosește protocolul HTTP pentru a comunica cu serverul său C&C. |
T1132.001 | Codificarea datelor: codificare standard | LODEINFO folosește baza64 cu siguranță URL pentru a-și codifica traficul C&C. | |
T1573.001 | Canal criptat: Criptografie simetrică | LODEINFO folosește AES-256-CBC pentru a cripta traficul C&C. | |
T1001.001 | Ofucarea datelor: date nedorite | A doua etapă LODEINFO C&C adaugă mesajele nedorite la datele trimise. | |
Exfiltrarea | T1041 | Exfiltrare peste canalul C2 | LODEINFO poate exfiltra fișiere pe serverul C&C. |
T1071.002 | Protocolul stratului de aplicație: protocoale de transfer de fișiere | Am observat MirrorFace folosind Secure Copy Protocol (SCP) pentru a exfiltra datele colectate. | |
Impactul | T1486 | Date criptate pentru impact | LODEINFO poate cripta fișierele de pe computerul victimei. |
- blockchain
- coingenius
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- Departamentul de Securitate Națională
- portofele digitale
- Cercetare ESET
- firewall
- Kaspersky
- malware
- McAfee
- NexBLOC
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- VPN
- Traim Securitate
- securitatea site-ului
- zephyrnet