Исследователи ESET обнаружили целевую фишинговую кампанию, направленную против японских политических организаций за несколько недель до выборов в Палату советников, и в процессе обнаружили ранее неописанный похититель учетных данных MirrorFace.
Исследователи ESET обнаружили целевую фишинговую кампанию, запущенную за несколько недель до Выборы в Палату советников Японии в июле 2022 года группой APT, которую ESET Research отслеживает как MirrorFace. Кампания, которую мы назвали Operation LiberalFace, была нацелена на японские политические организации; наше расследование показало, что особое внимание в этой кампании уделялось членам определенной политической партии. Исследование ESET раскрыло подробности об этой кампании и группе APT, стоящей за ней. Конференция АВАР 2022 в начале этого месяца.
- В конце июня 2022 года MirrorFace запустила кампанию, которую мы назвали Operation LiberalFace, направленную против японских политических организаций.
- Целевым объектам были отправлены фишинговые сообщения электронной почты, содержащие флагманский бэкдор группы LODEINFO.
- LODEINFO использовался для доставки дополнительных вредоносных программ, эксфильтрации учетных данных жертвы и кражи документов и электронных писем жертвы.
- Ранее неописанный похититель учетных данных, который мы назвали MirrorStealer, использовался в операции LiberalFace.
- ESET Research провела анализ действий после компрометации, который предполагает, что наблюдаемые действия выполнялись вручную или полуавтоматически.
- Подробности об этой кампании были опубликованы на Конференция АВАР 2022.
MirrorFace — китайскоязычный злоумышленник, нацеленный на компании и организации, базирующиеся в Японии. Хотя есть некоторые предположения, что этот злоумышленник может быть связан с APT10 (Macnica, Kaspersky), ESET не может отнести его к какой-либо известной группе APT. Поэтому мы отслеживаем его как отдельную сущность, которую назвали MirrorFace. В частности, MirrorFace и LODEINFO, его запатентованное вредоносное ПО, используемое исключительно против целей в Японии, были переправу как средства массовой информации, оборонные компании, аналитические центры, дипломатические организации и академические учреждения. Цель MirrorFace — шпионаж и эксфильтрация интересующих файлов.
Мы относим операцию LiberalFace к MirrorFace на основании следующих показателей:
- Насколько нам известно, вредоносное ПО LODEINFO используется исключительно MirrorFace.
- Цели Operation LiberalFace совпадают с традиционными целями MirrorFace.
- Образец вредоносного ПО LODEINFO второго этапа связался с C&C-сервером, который мы отслеживаем внутренне как часть инфраструктуры MirrorFace.
Одно из фишинговых электронных писем, отправленных в рамках операции LiberalFace, выдавало себя за официальное сообщение отдела по связям с общественностью определенной японской политической партии, содержащее запрос, связанный с выборами в Палату советников, и якобы было отправлено от имени известного политика. Все фишинговые электронные письма содержали вредоносное вложение, которое при выполнении развертывало LODEINFO на скомпрометированной машине.
Кроме того, мы обнаружили, что MirrorFace использовал ранее незадокументированное вредоносное ПО, которое мы назвали MirrorStealer, для кражи учетных данных своей цели. Мы считаем, что это первое публичное описание этой вредоносной программы.
В этом блоге мы расскажем о наблюдаемых действиях после компрометации, включая команды C&C, отправленные в LODEINFO для выполнения действий. Основываясь на определенных действиях, выполняемых на пораженной машине, мы считаем, что оператор MirrorFace отдавал команды LODEINFO вручную или полуавтоматически.
Начальный доступ
MirrorFace начал атаку 29 июня.th, 2022 г., рассылка целевой фишинговой электронной почты с вредоносным вложением. Тема письма была SNS用動画 拡散のお願い (перевод с Google Translate: [Важно] Просьба о выкладывании видео для SNS). На рис. 1 и рис. 2 показано его содержимое.
Являясь отделом по связям с общественностью японской политической партии, MirrorFace попросила получателей распространять прикрепленные видео в своих профилях в социальных сетях (SNS - Служба социальных сетей), чтобы еще больше укрепить PR партии и обеспечить победу в Палате советников. Кроме того, электронное письмо содержит четкие инструкции по стратегии публикации видео.
Поскольку выборы в Палату советников состоялись 10 июляth, 2022 г., это электронное письмо ясно указывает на то, что MirrorFace искал возможность атаковать политические организации. Кроме того, определенный контент в электронном письме указывает на то, что целью были члены определенной политической партии.
MirrorFace также использовала в кампании еще одно фишинговое электронное письмо, где вложение было озаглавлено 【参考】220628発・選挙管理委員会宛文書(添書分).exe (перевод с Гугл переводчика: [Справочник] 220628 Документы Министерства избирательной комиссии (приложение.exe). Прилагаемый документ-приманка (показан на рис. 3) также ссылается на выборы в Палату советников.
В обоих случаях электронные письма содержали вредоносные вложения в виде самораспаковывающихся архивов WinRAR с обманчивыми названиями..exe (перевод с Гугл переводчика: Запрос на распространение видео для SNS.exe) и 【参考】220628発・選挙管理委員会宛文書(添書分).exe (перевод с Гугл переводчика: [Справочник] 220628 Документы Министерства избирательной комиссии (приложение.exe) соответственно.
Эти EXE-файлы извлекают свое заархивированное содержимое в % TEMP% папка. В частности, извлекаются четыре файла:
- K7SysMon.exe, безопасное приложение, разработанное K7 Computing Pvt Ltd, уязвимо для перехвата порядка поиска DLL.
- K7SysMn1.dll, вредоносный загрузчик
- K7SysMon.Exe.db, зашифрованное вредоносное ПО LODEINFO
- Документ-приманка
Затем документ-приманка открывается, чтобы обмануть цель и выглядеть безобидным. Как последний шаг, K7SysMon.exe выполняется, который загружает вредоносный загрузчик K7SysMn1.dll упал рядом с ним. Наконец, загрузчик считывает содержимое K7SysMon.Exe.db, расшифровывает его, а затем выполняет. Обратите внимание, что этот подход также наблюдался Касперским и описан в их отчету.
Набор инструментов
В этом разделе мы описываем вредоносное ПО MirrorFace, использованное в операции LiberalFace.
ЛОДЕИНФО
LODEINFO — это бэкдор MirrorFace, который постоянно развивается. JPCERT сообщил о первой версии LODEINFO (v0.1.2), появившийся примерно в декабре 2019 года; его функциональные возможности позволяют делать снимки экрана, вести журнал действий, убивать процессы, удалять файлы и выполнять дополнительные файлы и команды. С тех пор мы наблюдали несколько изменений, внесенных в каждую из его версий. Например, в версию 0.3.8 (которую мы впервые обнаружили в июне 2020 г.) добавлена команда выкупа (которая шифрует определенные файлы и папки), а в версию 0.5.6 (которую мы обнаружили в июле 2021 г.) добавлена команда конфиг, что позволяет операторам изменять его конфигурацию, хранящуюся в реестре. Помимо упомянутого выше отчета JPCERT, подробный анализ бэкдора LODEINFO также был опубликован ранее в этом году Kaspersky.
В операции LiberalFace мы наблюдали, как операторы MirrorFace использовали как обычное вредоносное ПО LODEINFO, так и то, что мы называем вредоносной программой LODEINFO второго этапа. LODEINFO второго этапа можно отличить от обычного LODEINFO по общей функциональности. В частности, второй этап LODEINFO принимает и запускает двоичные файлы PE и шелл-код вне реализованных команд. Кроме того, второй этап LODEINFO может обрабатывать команду C&C. конфиг, но функциональность для команды выкуп отсутствует.
Наконец, данные, полученные от C&C-сервера, различаются между обычным LODEINFO и вторым этапом. Для второй стадии LODEINFO C&C-сервер добавляет случайное содержимое веб-страницы к фактическим данным. См. рис. 4, рис. 5 и рис. 6, на которых изображена разница в полученных данных. Обратите внимание, что предваряемый фрагмент кода отличается для каждого полученного потока данных от C&C второго уровня.
Зеркальный похититель
MirrorStealer, внутреннее название 31558_n.dll от MirrorFace, является похитителем учетных данных. Насколько нам известно, эта вредоносная программа не была публично описана. Как правило, MirrorStealer крадет учетные данные из различных приложений, таких как браузеры и почтовые клиенты. Интересно, что одним из целевых приложений является Бекки!, клиент электронной почты, который в настоящее время доступен только в Японии. Все украденные учетные данные хранятся в %TEMP%31558.txt а поскольку MirrorStealer не имеет возможности эксфильтровать украденные данные, для этого он использует другие вредоносные программы.
Действия после взлома
В ходе нашего исследования нам удалось наблюдать за некоторыми командами, которые отдавались на скомпрометированные компьютеры.
Начальное наблюдение за окружающей средой
Как только LODEINFO был запущен на скомпрометированных машинах и они успешно подключились к C&C-серверу, оператор начал выдавать команды (см. рис. 7).
Сначала оператор выдал одну из команд LODEINFO, Распечатать, чтобы сделать снимок экрана скомпрометированной машины. За этим последовала другая команда, ls, чтобы увидеть содержимое текущей папки, в которой находится LODEINFO (т.е. % TEMP%). Сразу после этого оператор использовал LODEINFO для получения информации о сети, запустив нетто-вид и чистый вид/домен. Первая команда возвращает список компьютеров, подключенных к сети, а вторая возвращает список доступных доменов.
Кража учетных данных и файлов cookie браузера
Собрав эту основную информацию, оператор перешел к следующему этапу (см. рис. 8).
Оператор выдал команду LODEINFO send с подкомандой -объем памяти доставлять Зеркальный похититель вредоносное ПО на скомпрометированную машину. Подкоманда -объем памяти использовался для указания LODEINFO хранить MirrorStealer в памяти, что означает, что двоичный файл MirrorStealer никогда не сбрасывался на диск. В дальнейшем команда Память было выпущено. Эта команда предписывает LODEINFO взять MirrorStealer и внедрить его в порожденный cmd.exe процесс и запустите его.
Как только MirrorStealer собрал учетные данные и сохранил их в %temp%31558.txt, оператор использовал LODEINFO для эксфильтрации учетных данных.
Также оператора интересовали файлы cookie браузера жертвы. Однако у MirrorStealer нет возможности их собирать. Поэтому оператор удалил файлы cookie вручную через LODEINFO. Сначала оператор использовал команду LODEINFO директория просмотреть содержимое папок % LocalAppData% Данные GoogleChromeUser и %LocalAppData%MicrosoftEdgeUser Данные. Затем оператор скопировал все идентифицированные файлы cookie в % TEMP% папка. Затем оператор удалил все собранные файлы cookie с помощью команды LODEINFO. RECV. Наконец, оператор удалил скопированные файлы cookie из % TEMP% папку в попытке удалить следы.
Кража документов и электронной почты
На следующем этапе оператор извлек документы различных типов, а также сохраненные электронные письма (см. рис. 9).
Для этого оператор сначала использовал LODEINFO для доставки архиватора WinRAR (rar.exe). С помощью rar.exe, оператор собрал и заархивировал интересующие файлы, которые были изменены после 2022 из папок %USERPROFILE% и C:$Recycle.Bin. Оператора интересовали все такие файлы с расширениями .документ*, .ppt*, .xls*, .jtd, .eml, .*xpsи . Pdf.
Обратите внимание, что помимо обычных типов документов, MirrorFace также интересовались файлами с .jtd расширение. Это документы японского текстового процессора. Ичитаро разработана JustSystems.
После создания архива оператор доставил клиент протокола защищенного копирования (SCP) из PuTTY продолжение (pscp.exe), а затем использовал его для эксфильтрации только что созданного RAR-архива на сервер по адресу 45.32.13[.]180. Этот IP-адрес не наблюдался в предыдущих действиях MirrorFace и не использовался в качестве C&C-сервера ни в одном из обнаруженных нами вредоносных программ LODEINFO. Сразу после эксфильтрации архива оператор удалил rar.exe, pscp.exe, и архив RAR для очистки следов активности.
Развертывание второго этапа LODEINFO
Последним шагом, который мы наблюдали, была доставка LODEINFO второго этапа (см. рис. 10).
Оператор поставил следующие бинарники: JSESPR.dll, JsSchHlp.exeи vcruntime140.dll на скомпрометированную машину. Оригинал JsSchHlp.exe является безобидным приложением, подписанным JUSTSYSTEMS CORPORATION (создатели ранее упомянутого японского текстового процессора Ichitaro). Однако в данном случае оператор MirrorFace злоупотребил известной проверкой цифровой подписи Microsoft. вопрос и добавил зашифрованные данные RC4 к JsSchHlp.exe цифровая подпись. Из-за упомянутой проблемы Windows по-прежнему считает измененный JsSchHlp.exe быть действительно подписанным.
JsSchHlp.exe также подвержен боковой загрузке DLL. Поэтому при исполнении посаженный JSESPR.dll загружается (см. рис. 11).
JSESPR.dll является вредоносным загрузчиком, который считывает добавленную полезную нагрузку из JsSchHlp.exe, расшифровывает его и запускает. Полезной нагрузкой является LODEINFO второго этапа, и после запуска оператор использовал обычный LODEINFO, чтобы установить постоянство для второго этапа. В частности, оператор запустил reg.exe утилита для добавления значения с именем JsSchHlp до Run ключ реестра, содержащий путь к JsSchHlp.exe.
Однако, как нам кажется, оператору не удалось заставить LODEINFO второго этапа нормально взаимодействовать с C&C-сервером. Поэтому дальнейшие действия оператора, использующего LODEINFO второго этапа, нам неизвестны.
Интересные наблюдения
В ходе расследования мы сделали несколько интересных наблюдений. Одна из них заключается в том, что оператор допустил несколько ошибок и опечаток при выдаче команд в LODEINFO. Например, оператор отправил строку cmd /c каталог «c:use» в LODEINFO, который, скорее всего, должен был быть cmd /c каталог «c:users».
Это предполагает, что оператор выдает команды LODEINFO в ручном или полуавтоматическом режиме.
Наше следующее наблюдение заключается в том, что, несмотря на то, что оператор выполнил несколько операций по очистке, чтобы удалить следы компрометации, оператор забыл удалить %temp%31558.txt – журнал, содержащий украденные учетные данные. Таким образом, на скомпрометированной машине остался как минимум этот след, и он показывает нам, что оператор не был тщательным в процессе очистки.
Заключение
MirrorFace продолжает стремиться к важным целям в Японии. В операции «Либералфейс» он специально нацелился на политические организации, использовавшие предстоящие выборы в Палату советников в своих интересах. Что еще более интересно, наши результаты показывают, что MirrorFace уделяет особое внимание членам определенной политической партии.
В ходе расследования Operation LiberalFace нам удалось раскрыть другие TTP MirrorFace, такие как развертывание и использование дополнительных вредоносных программ и инструментов для сбора и кражи ценных данных от жертв. Более того, наше расследование показало, что операторы MirrorFace проявляют некоторую неосторожность, оставляя следы и допуская различные ошибки.
ESET Research также предлагает частные аналитические отчеты об APT и потоки данных. По любым вопросам, связанным с этой услугой, посетите ESET Аналитика угроз стр.
МНК
Файлы
SHA-1 | Имя файла | Имя обнаружения ESET | Описание |
---|---|---|---|
F4691FF3B3ACD15653684F372285CAC36C8D0AEF | K7SysMn1.dll | Win32/Агент.ACLP | LODEINFO загрузчик. |
DB81C8719DDAAE40C8D9B9CA103BBE77BE4FCE6C | K7SysMon.Exe.db | Нет | Зашифрованный LODEINFO. |
A8D2BE15085061B753FDEBBDB08D301A034CE1D5 | JsSchHlp.exe | Win32/Агент.ACLP | JsSchHlp.exe с добавленным зашифрованным вторым этапом LODEINFO в каталог безопасности. |
0AB7BB3FF583E50FBF28B288E71D3BB57F9D1395 | JSESPR.dll | Win32/Агент.ACLP | Загрузчик LODEINFO второго уровня. |
E888A552B00D810B5521002304D4F11BC249D8ED | 31558_n.dll | Win32/Агент.ACLP | Похититель учетных данных MirrorStealer. |
Cеть
IP | Поставщик | Впервые увидели | Подробнее |
---|---|---|---|
5.8.95[.]174 | G-Core Labs SA | 2022-06-13 | LODEINFO C&C сервер. |
45.32.13[.]180 | АС-ЧУПА | 2022-06-29 | Сервер для кражи данных. |
103.175.16[.]39 | Гигабитный хостинг Sdn Bhd | 2022-06-13 | LODEINFO C&C сервер. |
167.179.116[.]56 | АС-ЧУПА | 2021-10-20 | www.ninesmn[.]com, C&C-сервер LODEINFO второго уровня. |
172.105.217[.]233 | Линод, ООО | 2021-11-14 | www.aesorunwe[.]com, C&C-сервер LODEINFO второго уровня. |
Техники MITER ATT & CK
Эта таблица была построена с использованием версия 12 фреймворка MITRE ATT&CK.
Обратите внимание, что, хотя этот пост не содержит полного обзора возможностей LODEINFO, поскольку эта информация уже доступна в других публикациях, приведенная ниже таблица MITRE ATT&CK содержит все методы, связанные с ней.
тактика | ID | Фамилия | Описание |
---|---|---|---|
Первоначальный доступ | T1566.001 | Фишинг: Целевое фишинговое вложение | Вредоносный архив WinRAR SFX прикреплен к фишинговому письму. |
Типы | T1106 | Родной API | LODEINFO может выполнять файлы, используя СоздатьПроцессА API. |
T1204.002 | Пользовательское выполнение: вредоносный файл | Операторы MirrorFace рассчитывают на то, что жертва откроет вредоносное вложение, отправленное по электронной почте. | |
T1559.001 | Межпроцессное взаимодействие: компонентная объектная модель | LODEINFO может выполнять команды через объектную модель компонентов. | |
Настойчивость | T1547.001 | Выполнение автозапуска при загрузке или входе в систему: ключи запуска реестра / папка автозагрузки | LODEINFO добавляет запись в HKCU Запуск ключ для обеспечения настойчивости.
Мы наблюдали, как операторы MirrorFace вручную добавляли запись в HKCU Запуск ключ, чтобы обеспечить постоянство для второй стадии LODEINFO. |
Уклонение от защиты | T1112 | Изменить реестр | LODEINFO может хранить свою конфигурацию в реестре. |
T1055 | Инъекция процесса | LODEINFO может внедрять шелл-код в cmd.exe. | |
T1140 | Деобфускация/декодирование файлов или информации | Загрузчик LODEINFO расшифровывает полезную нагрузку с помощью однобайтового XOR или RC4. | |
T1574.002 | Поток выполнения Hijack: боковая загрузка DLL | MirrorFace дополнительно загружает LODEINFO, удаляя вредоносную библиотеку и законный исполняемый файл (например, K7SysMon.exe). | |
Открытие | T1082 | Обнаружение системной информации | LODEINFO снимает отпечатки пальцев скомпрометированной машины. |
T1083 | Обнаружение файлов и каталогов | LODEINFO может получить списки файлов и каталогов. | |
T1057 | Обнаружение процесса | LODEINFO может отображать запущенные процессы. | |
T1033 | Обнаружение владельца системы/пользователя | LODEINFO может получить имя пользователя жертвы. | |
T1614.001 | Обнаружение местоположения системы: обнаружение языка системы | LODEINFO проверяет системный язык, чтобы убедиться, что он не работает на машине, настроенной на использование английского языка. | |
Транспортировка | T1560.001 | Архивировать собранные данные: Архивировать с помощью утилиты | Мы наблюдали, как операторы MirrorFace архивировали собранные данные с помощью архиватора RAR. |
T1114.001 | Сбор электронной почты: Локальный сбор электронной почты | Мы наблюдали, как операторы MirrorFace собирали сохраненные сообщения электронной почты. | |
T1056.001 | Захват ввода: кейлоггинг | LODEINFO выполняет кейлоггинг. | |
T1113 | Захват экрана | LODEINFO может получить снимок экрана. | |
T1005 | Данные из локальной системы | Мы наблюдали, как операторы MirrorFace собирали и извлекали интересующие данные. | |
Управление и контроль | T1071.001 | Протокол прикладного уровня: веб-протоколы | LODEINFO использует протокол HTTP для связи со своим C&C-сервером. |
T1132.001 | Кодирование данных: стандартное кодирование | LODEINFO использует безопасный для URL base64 для кодирования трафика C&C. | |
T1573.001 | Зашифрованный канал: симметричная криптография | LODEINFO использует AES-256-CBC для шифрования трафика C&C. | |
T1001.001 | Обфускация данных: нежелательные данные | Второй этап LODEINFO C&C добавляет мусор к отправляемым данным. | |
эксфильтрации | T1041 | Эксфильтрация через канал C2 | LODEINFO может эксфильтровать файлы на сервер C&C. |
T1071.002 | Протокол прикладного уровня: протоколы передачи файлов | Мы наблюдали, как MirrorFace использует протокол безопасного копирования (SCP) для эксфильтрации собранных данных. | |
Влияние | T1486 | Данные, зашифрованные для воздействия | LODEINFO может шифровать файлы на машине жертвы. |
- блокчейн
- Coingenius
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Департамент внутренней безопасности
- цифровые кошельки
- Исследования ESET
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- Мы живем в безопасности
- безопасности веб-сайтов
- зефирнет