Demascare MirrorFace: Operațiunea LiberalFace care vizează entități politice japoneze

Cercetătorii ESET au descoperit o campanie de spearphishing, lansată în săptămânile premergătoare Alegerea Camerei Consilierilor din Japonia în iulie 2022, de către grupul APT pe care ESET Research îl urmărește ca MirrorFace. Campania, pe care am numit-o Operațiunea LiberalFace, a vizat entități politice japoneze; ancheta noastră a relevat faptul că membrii unui anumit partid politic au avut o atenție deosebită în această campanie. ESET Research a demascat detalii despre această campanie și despre grupul APT din spatele ei la Conferinta AVAR 2022 la începutul acestei luni.

MirrorFace este un actor de amenințări vorbitor de limbă chineză care vizează companii și organizații cu sediul în Japonia. Deși există unele speculații că acest actor de amenințare ar putea fi legat de APT10 (Macnica, Kaspersky), ESET nu poate să-l atribuie niciunui grup APT cunoscut. Prin urmare, îl urmărim ca o entitate separată pe care am numit-o MirrorFace. În special, MirrorFace și LODEINFO, malware-ul său proprietar utilizat exclusiv împotriva țintelor din Japonia, au fost raportate ca vizează mass-media, companii legate de apărare, grupuri de reflecție, organizații diplomatice și instituții academice. Scopul MirrorFace este spionajul și exfiltrarea fișierelor de interes.

Atribuim Operațiunea LiberalFace lui MirrorFace pe baza acestor indicatori:

• După cunoștințele noastre, malware-ul LODEINFO este utilizat exclusiv de MirrorFace.
• Țintele operațiunii LiberalFace se aliniază cu direcționarea tradițională MirrorFace.
• Un eșantion de malware LODEINFO din a doua etapă a contactat un server C&C pe care îl urmărim intern ca parte a infrastructurii MirrorFace.

Unul dintre e-mailurile de tip spearphishing trimise în cadrul Operațiunii LiberalFace a reprezentat o comunicare oficială din partea departamentului de relații publice al unui anumit partid politic japonez, care conținea o solicitare legată de alegerile pentru Camera Consilierilor și se presupune că a fost trimis în numele unui politician proeminent. Toate e-mailurile de spearphishing conțineau un atașament rău intenționat care, la executare, a implementat LODEINFO pe mașina compromisă.

În plus, am descoperit că MirrorFace a folosit programe malware nedocumentate anterior, pe care l-am numit MirrorStealer, pentru a fura acreditările țintei sale. Credem că este prima dată când acest malware este descris public.

În această postare pe blog, acoperim activitățile observate post-compromis, inclusiv comenzile C&C trimise către LODEINFO pentru a efectua acțiunile. Pe baza anumitor activități efectuate pe mașina afectată, credem că operatorul MirrorFace a emis comenzi către LODEINFO în mod manual sau semi-manual.

Acces inițial

MirrorFace a început atacul pe 29 iunie^th, 2022, distributing spearphishing emails with a malicious attachment to the targets. The subject of the email was SNS用動画 拡散のお願い (traducere din Google Translate: [Important] Request for spreading videos for SNS). Figura 1 și Figura 2 arată conținutul acestuia.

Figura 2. Versiunea tradusă

Pretinzând a fi departamentul de PR al unui partid politic japonez, MirrorFace le-a cerut destinatarilor să distribuie videoclipurile atașate pe propriile profiluri de rețele sociale (SNS – Social Network Service) pentru a consolida și mai mult PR-ul partidului și pentru a asigura victoria în Camera Consilierilor. În plus, e-mailul oferă instrucțiuni clare cu privire la strategia de publicare a videoclipurilor.

Deoarece alegerile pentru Camera Consilierilor au avut loc pe 10 iulie^th, 2022, acest e-mail indică clar că MirrorFace a căutat oportunitatea de a ataca entități politice. De asemenea, conținutul specific din e-mail indică faptul că membrii unui anumit partid politic au fost vizați.

MirrorFace a folosit și un alt e-mail de spearphishing în campanie, unde atașamentul a fost intitulat 【参考】220628発・選挙管理委員会宛文書（添書分）.executabil (traducere din Google Translate: [Reference] 220628 Documents from the Ministry of to election administration committee (appendix).exe). Documentul de momeală atașat (prezentat în Figura 3) face referire și la alegerea Camerei Consilierilor.

Figura 3. Documentul de momeală prezentat țintei

In both cases, the emails contained malicious attachments in the form of self-extracting WinRAR archives with deceptive names SNS用動画 拡散のお願い.executabil (traducere din Google Translate: Solicitare de difuzare a videoclipurilor pentru SNS.exe) și 【参考】220628発・選挙管理委員会宛文書（添書分）.executabil (traducere din Google Translate: [Reference] 220628 Documents from the Ministry of to election administration committee (appendix).exe) respectiv.

Aceste EXE-uri extrag conținutul arhivat în fișierul % TEMP% pliant. În special, sunt extrase patru fișiere:

• K7SysMon.exe, o aplicație benignă dezvoltată de K7 Computing Pvt Ltd vulnerabilă la deturnarea ordinului de căutare DLL
• K7SysMn1.dll, un încărcător rău intenționat
• K7SysMon.Exe.db, malware LODEINFO criptat
• Un document de momeală

Apoi, documentul de momeală este deschis pentru a înșela ținta și pentru a părea benign. Ca ultim pas, K7SysMon.exe este executat care încarcă încărcătorul rău intenționat K7SysMn1.dll scăpat alături de ea. În cele din urmă, încărcătorul citește conținutul K7SysMon.Exe.db, îl decriptează și apoi îl execută. Rețineți că această abordare a fost observată și de Kaspersky și descrisă în documentul lor raportează.

Set de scule

În această secțiune, descriem malware-ul MirrorFace utilizat în Operațiunea LiberalFace.

LODEINFO

LODEINFO este o ușă din spate MirrorFace care este în continuă dezvoltare. JPCERT a raportat despre prima versiune din LODEINFO (v0.1.2), care a apărut în jurul lunii decembrie 2019; funcționalitatea sa permite capturarea de capturi de ecran, înregistrarea tastelor, uciderea proceselor, exfiltrarea fișierelor și executarea de fișiere și comenzi suplimentare. De atunci, am observat câteva modificări introduse în fiecare dintre versiunile sale. De exemplu, versiunea 0.3.8 (pe care am detectat-o ​​pentru prima dată în iunie 2020) a adăugat comanda răscumpărare (care criptează fișierele și folderele definite), iar versiunea 0.5.6 (pe care am detectat-o ​​în iulie 2021) a adăugat comanda config, care permite operatorilor să-și modifice configurația stocată în registru. Pe lângă raportarea JPCERT menționată mai sus, o analiză detaliată a ușii din spate LODEINFO a fost publicată și la începutul acestui an de către Kaspersky.

În Operațiunea LiberalFace, am observat operatorii MirrorFace care utilizează atât LODEINFO obișnuit, cât și ceea ce numim malware-ul LODEINFO din a doua etapă. LODEINFO din a doua etapă poate fi distinsă de LODEINFO obișnuit prin analizarea funcționalității generale. În special, a doua etapă LODEINFO acceptă și rulează binare PE și cod shell în afara comenzilor implementate. Mai mult, a doua etapă LODEINFO poate procesa comanda C&C config, dar funcționalitatea pentru comandă răscumpărare lipseste.

În cele din urmă, datele primite de la serverul C&C diferă între LODEINFO obișnuit și cel din a doua etapă. Pentru a doua etapă LODEINFO, serverul C&C adaugă conținutul aleatoriu al paginii web la datele reale. Vezi Figura 4, Figura 5 și Figura 6 care prezintă diferența de date primite. Observați că fragmentul de cod anexat diferă pentru fiecare flux de date primit din a doua etapă C&C.

Figura 4. Date primite de la prima etapă LODEINFO C&C

Figura 5. Date primite de la a doua etapă C&C

Figura 6. Un alt flux de date primit de la a doua etapă C&C

MirrorStealer

MirrorStealer, numit intern 31558_n.dll de MirrorFace, este un furt de acreditări. Din câte știm, acest malware nu a fost descris public. În general, MirrorStealer fură acreditările din diverse aplicații, cum ar fi browsere și clienți de e-mail. Interesant, una dintre aplicațiile vizate este Becky!, un client de e-mail care este disponibil momentan numai în Japonia. Toate acreditările furate sunt stocate în %TEMP%31558.txt și, deoarece MirrorStealer nu are capacitatea de a exfiltra datele furate, depinde de alte programe malware pentru a face acest lucru.

Activități post-compromis

În timpul cercetării noastre, am putut observa unele dintre comenzile care au fost emise computerelor compromise.

Observarea inițială a mediului

Odată ce LODEINFO a fost lansat pe mașinile compromise și acestea s-au conectat cu succes la serverul C&C, un operator a început să emită comenzi (vezi Figura 7).

Figura 7. Observarea inițială a mediului de către operatorul MirrorFace prin LODEINFO

Mai întâi, operatorul a emis una dintre comenzile LODEINFO, imprima, pentru a captura ecranul mașinii compromise. Aceasta a fost urmată de o altă comandă, ls, pentru a vedea conținutul folderului curent în care a locuit LODEINFO (adică, % TEMP%). Imediat după aceea, operatorul a folosit LODEINFO pentru a obține informații despre rețea prin rulare vedere netă și vedere net /domeniu. Prima comandă returnează lista computerelor conectate la rețea, în timp ce a doua returnează lista domeniilor disponibile.

Furtul de acreditări și cookie-uri din browser

După ce a colectat aceste informații de bază, operatorul a trecut la următoarea fază (vezi Figura 8).

Figura 8. Flux de instrucțiuni trimise către LODEINFO pentru a implementa aplicația de furt de acreditări, a colecta acreditări și cookie-uri de browser și pentru a le exfiltra pe serverul C&C

Operatorul a emis comanda LODEINFO send cu subcomanda -memorie a livra MirrorStealer malware la mașina compromisă. Subcomanda -memorie a fost folosit pentru a indica lui LODEINFO să păstreze MirrorStealer în memorie, ceea ce înseamnă că binarul MirrorStealer nu a fost niciodată aruncat pe disc. Ulterior, comanda memorie a fost emis. Această comandă a instruit LODEINFO să ia MirrorStealer, să-l injecteze în materialul generat cmd.exe proces și rulați-l.

Odată ce MirrorStealer a colectat acreditările și le-a stocat %temp%31558.txt, operatorul a folosit LODEINFO pentru a exfiltra acreditările.

Operatorul a fost interesat și de cookie-urile de browser ale victimei. Cu toate acestea, MirrorStealer nu are capacitatea de a le colecta. Prin urmare, operatorul a exfiltrat cookie-urile manual prin LODEINFO. Mai întâi, operatorul a folosit comanda LODEINFO dir pentru a lista conținutul folderelor %LocalAppData%GoogleChromeUser Data și %LocalAppData%MicrosoftEdgeUser Data. Apoi, operatorul a copiat toate fișierele cookie identificate în fișierul % TEMP% pliant. Apoi, operatorul a exfiltrat toate fișierele cookie colectate folosind comanda LODEINFO recv. În cele din urmă, operatorul a șters fișierele cookie copiate din % TEMP% folder în încercarea de a elimina urmele.

Furtul de documente și e-mailuri

În pasul următor, operatorul a exfiltrat documente de diferite tipuri, precum și e-mailuri stocate (vezi Figura 9).

Figura 9. Fluxul instrucțiunilor trimise către LODEINFO pentru exfiltrarea fișierelor de interes

Pentru aceasta, operatorul a folosit mai întâi LODEINFO pentru a livra arhivatorul WinRAR (rar.exe). Utilizarea rar.exe, operatorul a colectat si arhivat fisiere de interes care au fost modificate dupa 2022-01-01 din foldere %USERPROFILE% și C:$Recycle.Bin. Operatorul a fost interesat de toate astfel de fișiere cu extensiile .doc*, .ppt*, .xls*, .jtd, eml, .*xps, și . Pdf.

Observați că, pe lângă tipurile obișnuite de documente, MirrorFace a fost interesat și de fișierele cu .jtd extensie. Acesta reprezintă documente ale procesorului de text japonez Ichitaro dezvoltat de JustSystems.

Odată ce arhiva a fost creată, operatorul a livrat clientul Secure Copy Protocol (SCP) de la PuTTY a continuat (pscp.exe) și apoi l-a folosit pentru a exfiltra arhiva RAR tocmai creată pe server la 45.32.13[.]180. Această adresă IP nu a fost observată în activitatea anterioară MirrorFace și nu a fost folosită ca server C&C în niciun program malware LODEINFO pe care l-am observat. Imediat după ce arhiva a fost exfiltrată, operatorul a șters rar.exe, pscp.exe, și arhiva RAR pentru a curăța urmele activității.

Desfășurarea LODEINFO a doua etapă

Ultimul pas pe care l-am observat a fost livrarea celei de-a doua etape a LODEINFO (vezi Figura 10).

Figura 10. Flux de instrucțiuni trimise către LODEINFO pentru implementarea LODEINFO a doua etapă

Operatorul a livrat următoarele binare: JSESPR.dll, JsSchHlp.exe, și vcruntime140.dll la mașina compromisă. Originalul JsSchHlp.exe este o aplicație benignă semnată de JUSTSYSTEMS CORPORATION (producătorii procesorului de text japonez menționat anterior, Ichitaro). Cu toate acestea, în acest caz, operatorul MirrorFace a abuzat de o verificare cunoscută a semnăturii digitale Microsoft problema și a adăugat date criptate RC4 la JsSchHlp.exe semnatura digitala. Din cauza problemei menționate, Windows încă consideră modificată JsSchHlp.exe să fie valabil semnate.

JsSchHlp.exe este, de asemenea, susceptibil la încărcarea laterală a DLL. Prin urmare, la execuție, plantat JSESPR.dll este încărcat (vezi Figura 11).

Figura 11. Fluxul de execuție al LODEINFO a doua etapă

JSESPR.dll este un încărcător rău intenționat care citește sarcina utilă atașată de la JsSchHlp.exe, îl decriptează și îl rulează. Sarcina utilă este LODEINFO din a doua etapă, iar odată ce a rulat, operatorul a folosit LODEINFO obișnuit pentru a seta persistența pentru etapa a doua. În special, operatorul a condus reg.exe utilitar pentru a adăuga o valoare numită JsSchHlp la Alerga cheie de registry care deține calea către JsSchHlp.exe.

Cu toate acestea, ni se pare că operatorul nu a reușit să facă din a doua etapă LODEINFO să comunice corect cu serverul C&C. Prin urmare, orice etapă suplimentară a operatorului care utilizează LODEINFO a doua etapă ne rămâne necunoscută.

Observații interesante

În timpul investigației, am făcut câteva observații interesante. Una dintre ele este că operatorul a făcut câteva erori și greșeli de scriere la lansarea comenzilor către LODEINFO. De exemplu, operatorul a trimis șirul cmd /c dir „c:use” la LODEINFO, care cel mai probabil ar fi trebuit să fie cmd /c dir „c: utilizatori”.

Aceasta sugerează că operatorul emite comenzi către LODEINFO într-un mod manual sau semi-manual.

Următoarea noastră observație este că, deși operatorul a efectuat câteva curățări pentru a elimina urmele compromisului, operatorul a uitat să ștergă %temp%31558.txt – jurnalul care conține acreditările furate. Astfel, cel puțin această urmă a rămas pe mașina compromisă și ne arată că operatorul nu a fost minuțios în procesul de curățare.

Concluzie

MirrorFace continuă să urmărească ținte de mare valoare în Japonia. În Operațiunea LiberalFace, a vizat în mod specific entitățile politice, folosindu-se alegerile pentru Camera Consilierilor care urmau atunci în avantajul său. Mai interesant, constatările noastre indică MirrorFace concentrat în special pe membrii unui anumit partid politic.

În timpul investigației Operațiunea LiberalFace, am reușit să descoperim alte TTP-uri MirrorFace, cum ar fi implementarea și utilizarea de programe malware și instrumente suplimentare pentru a colecta și a exfiltra date valoroase de la victime. Mai mult, ancheta noastră a relevat că operatorii MirrorFace sunt oarecum neglijenți, lăsând urme și comit diverse greșeli.

IoC-uri

Fişiere

Reţea

Tehnici MITRE ATT&CK

Acest tabel a fost construit folosind Versiunea 12 din cadrul MITRE ATT&CK.

Rețineți că, deși această postare de blog nu oferă o prezentare completă a capabilităților LODEINFO, deoarece aceste informații sunt deja disponibile în alte publicații, tabelul MITRE ATT&CK de mai jos conține toate tehnicile asociate cu acesta.