Raziskovalci podjetja ESET so nekaj tednov pred volitvami v svetniški dom odkrili kampanjo lažnega predstavljanja, ki je bila usmerjena na japonske politične subjekte, in med tem odkrili prej neopisanega krajca poverilnic MirrorFace
ESET-ovi raziskovalci so odkrili kampanjo lažnega predstavljanja, ki se je začela v tednih pred Japonske volitve v dom svetnikov julija 2022 s strani skupine APT, ki jo ESET Research spremlja kot MirrorFace. Kampanja, ki smo jo poimenovali Operation LiberalFace, je bila usmerjena na japonske politične entitete; naša preiskava je pokazala, da so bili v tej kampanji v ospredju predvsem člani določene politične stranke. ESET Research je razkril podrobnosti o tej kampanji in skupini APT, ki stoji za njo Konferenca AVAR 2022 na začetku tega meseca.
- Konec junija 2022 je MirrorFace začel kampanjo, ki smo jo poimenovali Operation LiberalFace, ki je bila usmerjena proti japonskim političnim subjektom.
- Ciljem so bila poslana e-poštna sporočila z lažnim predstavljanjem, ki so vsebovala glavna stranska vrata skupine LODEINFO.
- LODEINFO je bil uporabljen za dostavo dodatne zlonamerne programske opreme, izločanje poverilnic žrtve ter krajo žrtvinih dokumentov in e-pošte.
- V operaciji LiberalFace je bil uporabljen prej neopisani krajec poverilnic, ki smo ga poimenovali MirrorStealer.
- ESET Research je izvedla analizo pokompromisnih dejavnosti, ki nakazuje, da so bila opazovana dejanja izvedena na ročni ali polročni način.
- Podrobnosti o tej kampanji so bile objavljene na Konferenca AVAR 2022.
MirrorFace je kitajsko govoreči akter groženj, ki cilja na podjetja in organizacije s sedežem na Japonskem. Čeprav obstaja nekaj špekulacij, da bi lahko bil ta akter grožnje povezan z APT10 (Macnica, Kaspersky), ga ESET ne more pripisati nobeni znani skupini APT. Zato mu sledimo kot ločeni entiteti, ki smo jo poimenovali MirrorFace. Zlasti MirrorFace in LODEINFO, njegova lastniška zlonamerna programska oprema, ki se uporablja izključno proti tarčam na Japonskem, sta bila napadena poročali ciljajo na medije, podjetja, povezana z obrambo, možganske truste, diplomatske organizacije in akademske ustanove. Cilj MirrorFace je vohunjenje in izločanje datotek, ki vas zanimajo.
Operacijo LiberalFace pripisujemo MirrorFace na podlagi teh indikatorjev:
- Kolikor nam je znano, zlonamerno programsko opremo LODEINFO uporablja izključno MirrorFace.
- Cilji operacije LiberalFace se ujemajo s tradicionalnim ciljanjem MirrorFace.
- Vzorec zlonamerne programske opreme LODEINFO druge stopnje je vzpostavil stik s strežnikom C&C, ki mu interno sledimo kot del infrastrukture MirrorFace.
Eno od podvodnih e-poštnih sporočil, poslanih v operaciji LiberalFace, se je predstavljalo kot uradno sporočilo oddelka za odnose z javnostmi določene japonske politične stranke, ki je vsebovalo zahtevo v zvezi z volitvami v dom svetnikov in je bilo domnevno poslano v imenu vidnega politika. Vsa e-poštna sporočila s lažnim predstavljanjem so vsebovala zlonamerno priponko, ki je po izvedbi namestila LODEINFO na ogroženi napravi.
Poleg tega smo odkrili, da je MirrorFace uporabil prej nedokumentirano zlonamerno programsko opremo, ki smo jo poimenovali MirrorStealer, za krajo poverilnic svojega cilja. Menimo, da je to prvič, da je bila ta zlonamerna programska oprema javno opisana.
V tej objavi v spletnem dnevniku pokrivamo opažene dejavnosti po kompromisu, vključno z ukazi C&C, poslanimi LODEINFO za izvedbo dejanj. Na podlagi določenih dejavnosti, izvedenih na prizadetem računalniku, menimo, da je operater MirrorFace izdal ukaze LODEINFO na ročni ali polročni način.
Začetni dostop
MirrorFace je napad začel 29. junijath, 2022, distributing spearphishing emails with a malicious attachment to the targets. The subject of the email was SNS用動画 拡散のお願い (prevod iz Google Prevajalnika: [Important] Request for spreading videos for SNS). Slika 1 in Slika 2 prikazujeta njegovo vsebino.
MirrorFace, ki naj bi bil oddelek za odnose z javnostmi japonske politične stranke, je prosil prejemnike, naj razdelijo priložene videoposnetke na svojih profilih družbenih medijev (SNS – Social Network Service), da bi dodatno okrepili strankin PR in zagotovili zmago v domu svetnikov. Poleg tega e-poštno sporočilo vsebuje jasna navodila o strategiji objave videoposnetkov.
Ker so bile volitve v dom svetnikov 10. julijath2022, to e-poštno sporočilo jasno kaže, da je MirrorFace iskal priložnost za napad na politične subjekte. Prav tako določena vsebina v elektronskem sporočilu nakazuje, da so bili tarča člani določene politične stranke.
MirrorFace je v kampanji uporabil tudi drugo lažno e-poštno sporočilo, kjer je bila priloga naslovljena 【参考】220628発・選挙管理委員会宛文書(添書分).exe (prevod iz Google Translate: [Reference] 220628 Documents from the Ministry of to election administration committee (appendix).exe). Priložen dokument z vabo (prikazan na sliki 3) se sklicuje tudi na volitve v zbornico svetnikov.
In both cases, the emails contained malicious attachments in the form of self-extracting WinRAR archives with deceptive names SNS用動画 拡散のお願い.exe (prevod iz Google Translate: Zahteva za širjenje videoposnetkov za SNS.exe) in 【参考】220628発・選挙管理委員会宛文書(添書分).exe (prevod iz Google Translate: [Reference] 220628 Documents from the Ministry of to election administration committee (appendix).exe) oz.
Ti EXE ekstrahirajo svojo arhivirano vsebino v % Temp% mapo. Ekstrahirane so zlasti štiri datoteke:
- K7SysMon.exe, benigna aplikacija, ki jo je razvil K7 Computing Pvt Ltd, ranljiva za ugrabitev naročila iskanja DLL
- K7SysMn1.dll, zlonamerni nalagalnik
- K7SysMon.Exe.db, šifrirana zlonamerna programska oprema LODEINFO
- Dokument za vabo
Nato se dokument z vabo odpre, da zavede tarčo in izgleda benigno. Kot zadnji korak, K7SysMon.exe se izvede, ki naloži zlonamerni nalagalnik K7SysMn1.dll padla zraven. Končno nalagalnik prebere vsebino K7SysMon.Exe.db, ga dešifrira in nato izvede. Upoštevajte, da je ta pristop opazil tudi Kaspersky in ga opisal v svojih poročilo.
Nabor orodij
V tem razdelku opisujemo zlonamerno programsko opremo MirrorFace, uporabljeno v operaciji LiberalFace.
LODEINFO
LODEINFO je stranska vrata MirrorFace, ki se nenehno razvija. JPCERT poročali o prvi različici LODEINFO (v0.1.2), ki se je pojavil okoli decembra 2019; njegova funkcionalnost omogoča zajemanje posnetkov zaslona, beleženje tipk, ubijanje procesov, eksfiltracijo datotek ter izvajanje dodatnih datotek in ukazov. Od takrat smo opazili več sprememb, uvedenih v vsako od njegovih različic. Na primer, različica 0.3.8 (ki smo jo prvič zaznali junija 2020) je dodala ukaz ransom (ki šifrira določene datoteke in mape), različica 0.5.6 (ki smo jo zaznali julija 2021) pa je dodala ukaz config, ki operaterjem omogoča spreminjanje njegove konfiguracije, shranjene v registru. Poleg zgoraj omenjenega poročila JPCERT je v začetku tega leta objavil tudi podrobno analizo zakulisnih vrat LODEINFO. Kaspersky.
V operaciji LiberalFace smo opazili, da operaterji MirrorFace uporabljajo tako navadno LODEINFO kot drugostopenjsko zlonamerno programsko opremo LODEINFO. LODEINFO druge stopnje je mogoče ločiti od običajnega LODEINFO po splošni funkcionalnosti. Zlasti LODEINFO druge stopnje sprejema in izvaja binarne datoteke PE in lupinsko kodo zunaj implementiranih ukazov. Poleg tega lahko LODEINFO druge stopnje obdela ukaz C&C config, ampak funkcionalnost za ukaz odkupnina manjka.
Nazadnje se podatki, prejeti s strežnika C&C, med običajnim LODEINFO in drugostopenjskim razlikujejo. Za drugo stopnjo LODEINFO strežnik C&C dejanskim podatkom doda naključno vsebino spletne strani. Glejte slike 4, slike 5 in slike 6, ki prikazujejo razliko v prejetih podatkih. Upoštevajte, da se vnaprej dodani delček kode razlikuje za vsak prejeti podatkovni tok iz druge stopnje C&C.
MirrorStealer
MirrorStealer, interno imenovan 31558_n.dll avtor MirrorFace, je tat poverilnic. Kolikor nam je znano, ta zlonamerna programska oprema ni bila javno opisana. Na splošno MirrorStealer ukrade poverilnice iz različnih aplikacij, kot so brskalniki in e-poštni odjemalci. Zanimivo je, da je ena od ciljnih aplikacij Becky!, e-poštni odjemalec, ki je trenutno na voljo samo na Japonskem. Vse ukradene poverilnice so shranjene v %TEMP%31558.txt in ker MirrorStealer nima zmožnosti izločanja ukradenih podatkov, je to odvisno od druge zlonamerne programske opreme.
Dejavnosti po kompromisu
Med našo raziskavo smo lahko opazili nekaj ukazov, ki so bili izdani ogroženim računalnikom.
Začetno opazovanje okolja
Ko je bil LODEINFO zagnan na ogroženih računalnikih in so se uspešno povezali s strežnikom C&C, je operater začel izdajati ukaze (glejte sliko 7).
Najprej je operater izdal enega od ukazov LODEINFO, print, da zajamete zaslon ogrožene naprave. Temu je sledil še en ukaz, ls, če želite videti vsebino trenutne mape, v kateri se nahaja LODEINFO (tj. % Temp%). Takoj za tem je operater uporabil LODEINFO za pridobitev omrežnih informacij z zagonom net view in net view /domena. Prvi ukaz vrne seznam računalnikov, povezanih v omrežje, drugi pa seznam razpoložljivih domen.
Kraja poverilnic in piškotkov brskalnika
Po zbiranju teh osnovnih informacij je operater prešel na naslednjo fazo (glej sliko 8).
Operater je izdal ukaz LODEINFO send s podukazom -spomin dostaviti MirrorStealer zlonamerno programsko opremo na ogroženi stroj. Podukaz -spomin je bil uporabljen za nakazovanje LODEINFO, naj ohrani MirrorStealer v svojem pomnilniku, kar pomeni, da dvojiška datoteka MirrorStealer ni bila nikoli spuščena na disk. Nato ukaz spomin je bil izdan. Ta ukaz je ukazal LODEINFO, naj vzame MirrorStealer in ga vbrizga v sprožene cmd.exe proces in ga zaženite.
Ko je MirrorStealer zbral poverilnice in jih shranil v %temp%31558.txt, je operater uporabil LODEINFO za izločanje poverilnic.
Operaterja so zanimali tudi piškotki brskalnika žrtve. Vendar MirrorStealer nima zmožnosti zbiranja teh. Zato je operater piškotke izločil ročno prek LODEINFO. Najprej je operater uporabil ukaz LODEINFO dir za seznam vsebine map %LocalAppData%GoogleChromeUser podatki in %LocalAppData%MicrosoftEdgeUser podatki. Nato je operater kopiral vse identificirane datoteke piškotkov v % Temp% mapo. Nato je operater z ukazom LODEINFO eksfiltriral vse zbrane datoteke piškotkov rekv. Na koncu je operater izbrisal kopirane datoteke piškotkov iz % Temp% mapo, da bi odstranili sledi.
Kraja dokumentov in elektronske pošte
V naslednjem koraku je operater eksfiltriral dokumente različnih vrst ter shranjeno elektronsko pošto (glej sliko 9).
Za to je operater najprej uporabil LODEINFO za dostavo arhivarja WinRAR (rar.exe). Uporaba rar.exe, je operater zbral in arhiviral zanimive datoteke, ki so bile spremenjene po 2022. 01. 01, iz map %USERPROFILE% in C:$Recycle.Bin. Operaterja so zanimale vse take datoteke s končnicami .doc *, .ppt*, .xls*, .jtd, .eml, .*xpsin . Pdf.
Upoštevajte, da so MirrorFace poleg običajnih vrst dokumentov zanimale tudi datoteke z .jtd razširitev. To predstavlja dokumente japonskega urejevalnika besedil Ichitaro razvil JustSystems.
Ko je bil arhiv ustvarjen, je operater dostavil odjemalca protokola varnega kopiranja (SCP) iz PuTTY nadaljevano (pscp.exe) in ga nato uporabil za eksfiltracijo pravkar ustvarjenega arhiva RAR na strežnik na naslovu 45.32.13[.]180. Ta naslov IP ni bil opažen v prejšnji dejavnosti MirrorFace in ni bil uporabljen kot strežnik C&C v nobeni zlonamerni programski opremi LODEINFO, ki smo jo opazili. Takoj po eksfiltraciji arhiva je operater izbrisal rar.exe, pscp.exein arhiv RAR za brisanje sledi dejavnosti.
Uvedba druge stopnje LODEINFO
Zadnji korak, ki smo ga opazili, je bila dostava LODEINFO druge stopnje (glejte sliko 10).
Operater je dostavil naslednje binarne datoteke: JSESPR.dll, JsSchHlp.exein vcruntime140.dll na ogroženi stroj. Izvirnik JsSchHlp.exe je benigna aplikacija, ki jo podpisuje JUSTSYSTEMS CORPORATION (proizvajalec prej omenjenega japonskega urejevalnika besedil Ichitaro). Vendar je v tem primeru operater MirrorFace zlorabil znano Microsoftovo preverjanje digitalnega podpisa vprašanje in dodal šifrirane podatke RC4 JsSchHlp.exe digitalni podpis. Zaradi omenjene težave Windows še vedno upošteva spremenjeno JsSchHlp.exe biti veljavno podpisan.
JsSchHlp.exe je tudi dovzeten za stransko nalaganje DLL. Zato je ob usmrtitvi zasajeno JSESPR.dll je naložen (glej sliko 11).
JSESPR.dll je zlonamerni nakladalnik, ki bere priloženi tovor iz JsSchHlp.exe, ga dešifrira in zažene. Koristna obremenitev je LODEINFO druge stopnje in ko je operater deloval, je uporabil običajni LODEINFO za nastavitev obstojnosti za drugo stopnjo. Zlasti operater je vodil reg.exe pripomoček za dodajanje vrednosti z imenom JsSchHlp k Run registrski ključ, ki drži pot do JsSchHlp.exe.
Vendar se nam zdi, da operaterju ni uspelo vzpostaviti pravilne komunikacije LODEINFO druge stopnje s strežnikom C&C. Zato nam vsi nadaljnji koraki operaterja, ki uporablja drugostopenjski LODEINFO, ostajajo neznani.
Zanimiva opažanja
Med preiskavo smo ugotovili nekaj zanimivih ugotovitev. Eden od njih je, da je operater naredil nekaj napak in tipkarskih napak pri izdajanju ukazov za LODEINFO. Na primer, operater je poslal niz cmd /c imenik "c:use" do LODEINFO, ki naj bi najverjetneje bil cmd /c imenik “c:uporabniki”.
To nakazuje, da operater izdaja ukaze LODEINFO na ročni ali polročni način.
Naše naslednje opažanje je, da čeprav je operater izvedel nekaj čiščenj, da bi odstranil sledi kompromisa, je operater pozabil izbrisati %temp%31558.txt – dnevnik z ukradenimi poverilnicami. Tako je vsaj ta sled ostala na ogroženem stroju in nam kaže, da operater ni bil temeljit v procesu čiščenja.
zaključek
MirrorFace si še naprej prizadeva za cilje visoke vrednosti na Japonskem. V operaciji LiberalFace se je posebej osredotočil na politične subjekte, ki so izrabljali takrat prihajajoče volitve v dom svetnikov v svojo korist. Še bolj zanimivo je, da naše ugotovitve kažejo, da je MirrorFace še posebej osredotočen na člane določene politične stranke.
Med preiskavo operacije LiberalFace nam je uspelo odkriti dodatne TTP-je MirrorFace, kot je namestitev in uporaba dodatne zlonamerne programske opreme in orodij za zbiranje in izločanje dragocenih podatkov žrtev. Poleg tega je naša preiskava pokazala, da so operaterji MirrorFace nekoliko neprevidni, puščajo sledi in delajo različne napake.
ESET Research ponuja tudi zasebna obveščevalna poročila APT in vire podatkov. Za vsa vprašanja o tej storitvi obiščite ESET Threat Intelligence stran.
IoC
datoteke
SHA-1 | Ime datoteke | Ime zaznavanja ESET | Opis |
---|---|---|---|
F4691FF3B3ACD15653684F372285CAC36C8D0AEF | K7SysMn1.dll | Win32/Agent.ACLP | LODEINFO nakladalnik. |
DB81C8719DDAAE40C8D9B9CA103BBE77BE4FCE6C | K7SysMon.Exe.db | N / A | Šifrirani LODEINFO. |
A8D2BE15085061B753FDEBBDB08D301A034CE1D5 | JsSchHlp.exe | Win32/Agent.ACLP | JsSchHlp.exe s priloženim šifriranim drugostopenjskim LODEINFO v varnostni imenik. |
0AB7BB3FF583E50FBF28B288E71D3BB57F9D1395 | JSESPR.dll | Win32/Agent.ACLP | Nalagalnik LODEINFO druge stopnje. |
E888A552B00D810B5521002304D4F11BC249D8ED | 31558_n.dll | Win32/Agent.ACLP | MirrorStealer kraj poverilnic. |
mreža
IP | ponudnik | Prvič viden | podrobnosti |
---|---|---|---|
5.8.95[.]174 | G-Core Labs SA | 2022-06-13 | LODEINFO C&C strežnik. |
45.32.13[.]180 | AS-ČOOPA | 2022-06-29 | Strežnik za ekstrakcijo podatkov. |
103.175.16[.]39 | Gigabit Hosting Sdn Bhd | 2022-06-13 | LODEINFO C&C strežnik. |
167.179.116[.]56 | AS-ČOOPA | 2021-10-20 | www.ninesmn[.]com, drugostopenjski strežnik LODEINFO C&C. |
172.105.217[.]233 | Linode, LLC | 2021-11-14 | www.aesorunwe[.]com, drugostopenjski strežnik LODEINFO C&C. |
Tehnike MITER ATT&CK
Ta tabela je bila izdelana z uporabo različica 12 okvira MITER ATT&CK.
Upoštevajte, da čeprav ta objava v spletnem dnevniku ne zagotavlja popolnega pregleda zmožnosti LODEINFO, ker so te informacije že na voljo v drugih publikacijah, spodnja tabela MITER ATT&CK vsebuje vse tehnike, povezane z njo.
Taktika | ID | Ime | Opis |
---|---|---|---|
Začetni dostop | T1566.001 | Lažno predstavljanje: priloga lažnega predstavljanja | Zlonamerni arhiv WinRAR SFX je pripet e-poštnemu sporočilu s lažnim predstavljanjem. |
Izvedba | T1106 | Izvorni API | LODEINFO lahko izvaja datoteke z uporabo UstvariProcesA API. |
T1204.002 | Uporabniška izvedba: zlonamerna datoteka | Operaterji MirrorFace se zanašajo na to, da žrtev odpre zlonamerno priponko, poslano po e-pošti. | |
T1559.001 | Medprocesna komunikacija: komponentni objektni model | LODEINFO lahko izvaja ukaze preko komponentnega objektnega modela. | |
Vztrajnost | T1547.001 | Izvedba samodejnega zagona zagona ali prijave: ključi za zagon registra / zagonska mapa | LODEINFO doda vnos v HKCU Run ključ za zagotavljanje obstojnosti.
Opazili smo, da operaterji MirrorFace ročno dodajajo vnos v HKCU Run ključ za zagotovitev obstojnosti za drugo stopnjo LODEINFO. |
Izmikanje obrambi | T1112 | Spremenite register | LODEINFO lahko shrani svojo konfiguracijo v register. |
T1055 | Procesno vbrizgavanje | LODEINFO lahko vstavi lupinsko kodo cmd.exe. | |
T1140 | Razmegljevanje/dekodiranje datotek ali informacij | Nalagalnik LODEINFO dešifrira koristni tovor z uporabo enobajtnega XOR ali RC4. | |
T1574.002 | Potek izvajanja ugrabitve: stransko nalaganje DLL | MirrorFace stransko naloži LODEINFO tako, da izpusti zlonamerno knjižnico in zakonito izvršljivo datoteko (npr. K7SysMon.exe). | |
Discovery | T1082 | Odkrivanje sistemskih informacij | LODEINFO vzame prstne odtise ogrožene naprave. |
T1083 | Odkrivanje datotek in imenikov | LODEINFO lahko pridobi sezname datotek in imenikov. | |
T1057 | Odkrivanje procesov | LODEINFO lahko navede tekoče procese. | |
T1033 | Odkrivanje lastnika sistema/uporabnika | LODEINFO lahko pridobi uporabniško ime žrtve. | |
T1614.001 | Odkrivanje sistemske lokacije: Odkrivanje sistemskega jezika | LODEINFO preveri sistemski jezik, da preveri, ali se ne izvaja na računalniku, ki je nastavljen za uporabo angleškega jezika. | |
Collection | T1560.001 | Arhivirajte zbrane podatke: arhivirajte prek pripomočka | Opazovali smo operaterje MirrorFace pri arhiviranju zbranih podatkov s pomočjo arhivarja RAR. |
T1114.001 | Zbirka e-pošte: lokalna zbirka e-pošte | Opazili smo, da operaterji MirrorFace zbirajo shranjena e-poštna sporočila. | |
T1056.001 | Zajem vnosa: beleženje tipk | LODEINFO izvaja beleženje tipk. | |
T1113 | screen Capture | LODEINFO lahko pridobi posnetek zaslona. | |
T1005 | Podatki iz lokalnega sistema | Opazovali smo operaterje MirrorFace, ki zbirajo in izločajo zanimive podatke. | |
Poveljevanje in nadzor | T1071.001 | Protokol aplikacijskega sloja: spletni protokoli | LODEINFO uporablja protokol HTTP za komunikacijo s svojim C&C strežnikom. |
T1132.001 | Kodiranje podatkov: Standardno kodiranje | LODEINFO uporablja URL-varno base64 za kodiranje prometa C&C. | |
T1573.001 | Šifrirani kanal: simetrična kriptografija | LODEINFO uporablja AES-256-CBC za šifriranje C&C prometa. | |
T1001.001 | Zakrivanje podatkov: neželeni podatki | Druga stopnja LODEINFO C&C doda neželeno stran poslanim podatkom. | |
Eksfiltracija | T1041 | Eksfiltracija preko kanala C2 | LODEINFO lahko eksfiltrira datoteke na strežnik C&C. |
T1071.002 | Protokol aplikacijskega sloja: Protokoli za prenos datotek | Opazili smo, da MirrorFace uporablja protokol varnega kopiranja (SCP) za izločanje zbranih podatkov. | |
vpliv | T1486 | Podatki šifrirani za Impact | LODEINFO lahko šifrira datoteke na žrtvinem računalniku. |
- blockchain
- coingenius
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- oddelek za domovinsko varnost
- digitalne denarnice
- ESET Raziskave
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- Živimo varnost
- spletna varnost
- zefirnet