Разоблачение MirrorFace: операция LiberalFace, направленная против японских политических организаций

Исследователи ESET обнаружили целевую фишинговую кампанию, запущенную за несколько недель до Выборы в Палату советников Японии в июле 2022 года группой APT, которую ESET Research отслеживает как MirrorFace. Кампания, которую мы назвали Operation LiberalFace, была нацелена на японские политические организации; наше расследование показало, что особое внимание в этой кампании уделялось членам определенной политической партии. Исследование ESET раскрыло подробности об этой кампании и группе APT, стоящей за ней. Конференция АВАР 2022 в начале этого месяца.

MirrorFace — китайскоязычный злоумышленник, нацеленный на компании и организации, базирующиеся в Японии. Хотя есть некоторые предположения, что этот злоумышленник может быть связан с APT10 (Macnica, Kaspersky), ESET не может отнести его к какой-либо известной группе APT. Поэтому мы отслеживаем его как отдельную сущность, которую назвали MirrorFace. В частности, MirrorFace и LODEINFO, его запатентованное вредоносное ПО, используемое исключительно против целей в Японии, были переправу как средства массовой информации, оборонные компании, аналитические центры, дипломатические организации и академические учреждения. Цель MirrorFace — шпионаж и эксфильтрация интересующих файлов.

Мы относим операцию LiberalFace к MirrorFace на основании следующих показателей:

• Насколько нам известно, вредоносное ПО LODEINFO используется исключительно MirrorFace.
• Цели Operation LiberalFace совпадают с традиционными целями MirrorFace.
• Образец вредоносного ПО LODEINFO второго этапа связался с C&C-сервером, который мы отслеживаем внутренне как часть инфраструктуры MirrorFace.

Одно из фишинговых электронных писем, отправленных в рамках операции LiberalFace, выдавало себя за официальное сообщение отдела по связям с общественностью определенной японской политической партии, содержащее запрос, связанный с выборами в Палату советников, и якобы было отправлено от имени известного политика. Все фишинговые электронные письма содержали вредоносное вложение, которое при выполнении развертывало LODEINFO на скомпрометированной машине.

Кроме того, мы обнаружили, что MirrorFace использовал ранее незадокументированное вредоносное ПО, которое мы назвали MirrorStealer, для кражи учетных данных своей цели. Мы считаем, что это первое публичное описание этой вредоносной программы.

В этом блоге мы расскажем о наблюдаемых действиях после компрометации, включая команды C&C, отправленные в LODEINFO для выполнения действий. Основываясь на определенных действиях, выполняемых на пораженной машине, мы считаем, что оператор MirrorFace отдавал команды LODEINFO вручную или полуавтоматически.

Начальный доступ

MirrorFace начал атаку 29 июня.^th, 2022 г., рассылка целевой фишинговой электронной почты с вредоносным вложением. Тема письма была SNS用動画 拡散のお願い (перевод с Google Translate: [Важно] Просьба о выкладывании видео для SNS). На рис. 1 и рис. 2 показано его содержимое.

Рисунок 2. Переведенная версия

Являясь отделом по связям с общественностью японской политической партии, MirrorFace попросила получателей распространять прикрепленные видео в своих профилях в социальных сетях (SNS - Служба социальных сетей), чтобы еще больше укрепить PR партии и обеспечить победу в Палате советников. Кроме того, электронное письмо содержит четкие инструкции по стратегии публикации видео.

Поскольку выборы в Палату советников состоялись 10 июля^th, 2022 г., это электронное письмо ясно указывает на то, что MirrorFace искал возможность атаковать политические организации. Кроме того, определенный контент в электронном письме указывает на то, что целью были члены определенной политической партии.

MirrorFace также использовала в кампании еще одно фишинговое электронное письмо, где вложение было озаглавлено 【参考】220628発・選挙管理委員会宛文書（添書分）.exe (перевод с Гугл переводчика: [Справочник] 220628 Документы Министерства избирательной комиссии (приложение.exe). Прилагаемый документ-приманка (показан на рис. 3) также ссылается на выборы в Палату советников.

Рисунок 3. Документ-приманка, показанный цели

В обоих случаях электронные письма содержали вредоносные вложения в виде самораспаковывающихся архивов WinRAR с обманчивыми названиями..exe (перевод с Гугл переводчика: Запрос на распространение видео для SNS.exe) и 【参考】220628発・選挙管理委員会宛文書（添書分）.exe (перевод с Гугл переводчика: [Справочник] 220628 Документы Министерства избирательной комиссии (приложение.exe) соответственно.

Эти EXE-файлы извлекают свое заархивированное содержимое в % TEMP% папка. В частности, извлекаются четыре файла:

• K7SysMon.exe, безопасное приложение, разработанное K7 Computing Pvt Ltd, уязвимо для перехвата порядка поиска DLL.
• K7SysMn1.dll, вредоносный загрузчик
• K7SysMon.Exe.db, зашифрованное вредоносное ПО LODEINFO
• Документ-приманка

Затем документ-приманка открывается, чтобы обмануть цель и выглядеть безобидным. Как последний шаг, K7SysMon.exe выполняется, который загружает вредоносный загрузчик K7SysMn1.dll упал рядом с ним. Наконец, загрузчик считывает содержимое K7SysMon.Exe.db, расшифровывает его, а затем выполняет. Обратите внимание, что этот подход также наблюдался Касперским и описан в их отчету.

Набор инструментов

В этом разделе мы описываем вредоносное ПО MirrorFace, использованное в операции LiberalFace.

ЛОДЕИНФО

LODEINFO — это бэкдор MirrorFace, который постоянно развивается. JPCERT сообщил о первой версии LODEINFO (v0.1.2), появившийся примерно в декабре 2019 года; его функциональные возможности позволяют делать снимки экрана, вести журнал действий, убивать процессы, удалять файлы и выполнять дополнительные файлы и команды. С тех пор мы наблюдали несколько изменений, внесенных в каждую из его версий. Например, в версию 0.3.8 (которую мы впервые обнаружили в июне 2020 г.) добавлена ​​команда выкупа (которая шифрует определенные файлы и папки), а в версию 0.5.6 (которую мы обнаружили в июле 2021 г.) добавлена ​​команда конфиг, что позволяет операторам изменять его конфигурацию, хранящуюся в реестре. Помимо упомянутого выше отчета JPCERT, подробный анализ бэкдора LODEINFO также был опубликован ранее в этом году Kaspersky.

В операции LiberalFace мы наблюдали, как операторы MirrorFace использовали как обычное вредоносное ПО LODEINFO, так и то, что мы называем вредоносной программой LODEINFO второго этапа. LODEINFO второго этапа можно отличить от обычного LODEINFO по общей функциональности. В частности, второй этап LODEINFO принимает и запускает двоичные файлы PE и шелл-код вне реализованных команд. Кроме того, второй этап LODEINFO может обрабатывать команду C&C. конфиг, но функциональность для команды выкуп отсутствует.

Наконец, данные, полученные от C&C-сервера, различаются между обычным LODEINFO и вторым этапом. Для второй стадии LODEINFO C&C-сервер добавляет случайное содержимое веб-страницы к фактическим данным. См. рис. 4, рис. 5 и рис. 6, на которых изображена разница в полученных данных. Обратите внимание, что предваряемый фрагмент кода отличается для каждого полученного потока данных от C&C второго уровня.

Рисунок 4. Данные, полученные от LODEINFO C&C первого этапа

Рисунок 5. Данные, полученные от C&C второго этапа

Рисунок 6. Еще один поток данных, полученный от C&C второго этапа

Зеркальный похититель

MirrorStealer, внутреннее название 31558_n.dll от MirrorFace, является похитителем учетных данных. Насколько нам известно, эта вредоносная программа не была публично описана. Как правило, MirrorStealer крадет учетные данные из различных приложений, таких как браузеры и почтовые клиенты. Интересно, что одним из целевых приложений является Бекки!, клиент электронной почты, который в настоящее время доступен только в Японии. Все украденные учетные данные хранятся в %TEMP%31558.txt а поскольку MirrorStealer не имеет возможности эксфильтровать украденные данные, для этого он использует другие вредоносные программы.

Действия после взлома

В ходе нашего исследования нам удалось наблюдать за некоторыми командами, которые отдавались на скомпрометированные компьютеры.

Начальное наблюдение за окружающей средой

Как только LODEINFO был запущен на скомпрометированных машинах и они успешно подключились к C&C-серверу, оператор начал выдавать команды (см. рис. 7).

Рис. 7. Начальное наблюдение за окружением оператором MirrorFace через LODEINFO

Сначала оператор выдал одну из команд LODEINFO, Распечатать, чтобы сделать снимок экрана скомпрометированной машины. За этим последовала другая команда, ls, чтобы увидеть содержимое текущей папки, в которой находится LODEINFO (т.е. % TEMP%). Сразу после этого оператор использовал LODEINFO для получения информации о сети, запустив нетто-вид и чистый вид/домен. Первая команда возвращает список компьютеров, подключенных к сети, а вторая возвращает список доступных доменов.

Кража учетных данных и файлов cookie браузера

Собрав эту основную информацию, оператор перешел к следующему этапу (см. рис. 8).

Рисунок 8. Поток инструкций, отправляемых в LODEINFO для развертывания похитителя учетных данных, сбора учетных данных и файлов cookie браузера и их эксфильтрации на C&C-сервер

Оператор выдал команду LODEINFO send с подкомандой -объем памяти доставлять Зеркальный похититель вредоносное ПО на скомпрометированную машину. Подкоманда -объем памяти использовался для указания LODEINFO хранить MirrorStealer в памяти, что означает, что двоичный файл MirrorStealer никогда не сбрасывался на диск. В дальнейшем команда Память было выпущено. Эта команда предписывает LODEINFO взять MirrorStealer и внедрить его в порожденный cmd.exe процесс и запустите его.

Как только MirrorStealer собрал учетные данные и сохранил их в %temp%31558.txt, оператор использовал LODEINFO для эксфильтрации учетных данных.

Также оператора интересовали файлы cookie браузера жертвы. Однако у MirrorStealer нет возможности их собирать. Поэтому оператор удалил файлы cookie вручную через LODEINFO. Сначала оператор использовал команду LODEINFO директория просмотреть содержимое папок % LocalAppData% Данные GoogleChromeUser и %LocalAppData%MicrosoftEdgeUser Данные. Затем оператор скопировал все идентифицированные файлы cookie в % TEMP% папка. Затем оператор удалил все собранные файлы cookie с помощью команды LODEINFO. RECV. Наконец, оператор удалил скопированные файлы cookie из % TEMP% папку в попытке удалить следы.

Кража документов и электронной почты

На следующем этапе оператор извлек документы различных типов, а также сохраненные электронные письма (см. рис. 9).

Рисунок 9. Поток инструкций, отправляемых в LODEINFO для эксфильтрации интересующих файлов

Для этого оператор сначала использовал LODEINFO для доставки архиватора WinRAR (rar.exe). С помощью rar.exe, оператор собрал и заархивировал интересующие файлы, которые были изменены после 2022 из папок %USERPROFILE% и C:$Recycle.Bin. Оператора интересовали все такие файлы с расширениями .документ*, .ppt*, .xls*, .jtd, .eml, .*xpsи . Pdf.

Обратите внимание, что помимо обычных типов документов, MirrorFace также интересовались файлами с .jtd расширение. Это документы японского текстового процессора. Ичитаро разработана JustSystems.

После создания архива оператор доставил клиент протокола защищенного копирования (SCP) из PuTTY продолжение (pscp.exe), а затем использовал его для эксфильтрации только что созданного RAR-архива на сервер по адресу 45.32.13[.]180. Этот IP-адрес не наблюдался в предыдущих действиях MirrorFace и не использовался в качестве C&C-сервера ни в одном из обнаруженных нами вредоносных программ LODEINFO. Сразу после эксфильтрации архива оператор удалил rar.exe, pscp.exe, и архив RAR для очистки следов активности.

Развертывание второго этапа LODEINFO

Последним шагом, который мы наблюдали, была доставка LODEINFO второго этапа (см. рис. 10).

Рис. 10. Поток инструкций, отправляемых в LODEINFO для развертывания второй стадии LODEINFO

Оператор поставил следующие бинарники: JSESPR.dll, JsSchHlp.exeи vcruntime140.dll на скомпрометированную машину. Оригинал JsSchHlp.exe является безобидным приложением, подписанным JUSTSYSTEMS CORPORATION (создатели ранее упомянутого японского текстового процессора Ichitaro). Однако в данном случае оператор MirrorFace злоупотребил известной проверкой цифровой подписи Microsoft. вопрос и добавил зашифрованные данные RC4 к JsSchHlp.exe цифровая подпись. Из-за упомянутой проблемы Windows по-прежнему считает измененный JsSchHlp.exe быть действительно подписанным.

JsSchHlp.exe также подвержен боковой загрузке DLL. Поэтому при исполнении посаженный JSESPR.dll загружается (см. рис. 11).

Рисунок 11. Поток выполнения второго этапа LODEINFO

JSESPR.dll является вредоносным загрузчиком, который считывает добавленную полезную нагрузку из JsSchHlp.exe, расшифровывает его и запускает. Полезной нагрузкой является LODEINFO второго этапа, и после запуска оператор использовал обычный LODEINFO, чтобы установить постоянство для второго этапа. В частности, оператор запустил reg.exe утилита для добавления значения с именем JsSchHlp до Run ключ реестра, содержащий путь к JsSchHlp.exe.

Однако, как нам кажется, оператору не удалось заставить LODEINFO второго этапа нормально взаимодействовать с C&C-сервером. Поэтому дальнейшие действия оператора, использующего LODEINFO второго этапа, нам неизвестны.

Интересные наблюдения

В ходе расследования мы сделали несколько интересных наблюдений. Одна из них заключается в том, что оператор допустил несколько ошибок и опечаток при выдаче команд в LODEINFO. Например, оператор отправил строку cmd /c каталог «c:use» в LODEINFO, который, скорее всего, должен был быть cmd /c каталог «c:users».

Это предполагает, что оператор выдает команды LODEINFO в ручном или полуавтоматическом режиме.

Наше следующее наблюдение заключается в том, что, несмотря на то, что оператор выполнил несколько операций по очистке, чтобы удалить следы компрометации, оператор забыл удалить %temp%31558.txt – журнал, содержащий украденные учетные данные. Таким образом, на скомпрометированной машине остался как минимум этот след, и он показывает нам, что оператор не был тщательным в процессе очистки.

Заключение

MirrorFace продолжает стремиться к важным целям в Японии. В операции «Либералфейс» он специально нацелился на политические организации, использовавшие предстоящие выборы в Палату советников в своих интересах. Что еще более интересно, наши результаты показывают, что MirrorFace уделяет особое внимание членам определенной политической партии.

В ходе расследования Operation LiberalFace нам удалось раскрыть другие TTP MirrorFace, такие как развертывание и использование дополнительных вредоносных программ и инструментов для сбора и кражи ценных данных от жертв. Более того, наше расследование показало, что операторы MirrorFace проявляют некоторую неосторожность, оставляя следы и допуская различные ошибки.

МНК

Файлы

Cеть

Техники MITER ATT & CK

Эта таблица была построена с использованием версия 12 фреймворка MITRE ATT&CK.

Обратите внимание, что, хотя этот пост не содержит полного обзора возможностей LODEINFO, поскольку эта информация уже доступна в других публикациях, приведенная ниже таблица MITRE ATT&CK содержит все методы, связанные с ней.