Razkritje MirrorFace: Operacija LiberalFace, ki cilja na japonske politične entitete

ESET-ovi raziskovalci so odkrili kampanjo lažnega predstavljanja, ki se je začela v tednih pred Japonske volitve v dom svetnikov julija 2022 s strani skupine APT, ki jo ESET Research spremlja kot MirrorFace. Kampanja, ki smo jo poimenovali Operation LiberalFace, je bila usmerjena na japonske politične entitete; naša preiskava je pokazala, da so bili v tej kampanji v ospredju predvsem člani določene politične stranke. ESET Research je razkril podrobnosti o tej kampanji in skupini APT, ki stoji za njo Konferenca AVAR 2022 na začetku tega meseca.

MirrorFace je kitajsko govoreči akter groženj, ki cilja na podjetja in organizacije s sedežem na Japonskem. Čeprav obstaja nekaj špekulacij, da bi lahko bil ta akter grožnje povezan z APT10 (Macnica, Kaspersky), ga ESET ne more pripisati nobeni znani skupini APT. Zato mu sledimo kot ločeni entiteti, ki smo jo poimenovali MirrorFace. Zlasti MirrorFace in LODEINFO, njegova lastniška zlonamerna programska oprema, ki se uporablja izključno proti tarčam na Japonskem, sta bila napadena poročali ciljajo na medije, podjetja, povezana z obrambo, možganske truste, diplomatske organizacije in akademske ustanove. Cilj MirrorFace je vohunjenje in izločanje datotek, ki vas zanimajo.

Operacijo LiberalFace pripisujemo MirrorFace na podlagi teh indikatorjev:

• Kolikor nam je znano, zlonamerno programsko opremo LODEINFO uporablja izključno MirrorFace.
• Cilji operacije LiberalFace se ujemajo s tradicionalnim ciljanjem MirrorFace.
• Vzorec zlonamerne programske opreme LODEINFO druge stopnje je vzpostavil stik s strežnikom C&C, ki mu interno sledimo kot del infrastrukture MirrorFace.

Eno od podvodnih e-poštnih sporočil, poslanih v operaciji LiberalFace, se je predstavljalo kot uradno sporočilo oddelka za odnose z javnostmi določene japonske politične stranke, ki je vsebovalo zahtevo v zvezi z volitvami v dom svetnikov in je bilo domnevno poslano v imenu vidnega politika. Vsa e-poštna sporočila s lažnim predstavljanjem so vsebovala zlonamerno priponko, ki je po izvedbi namestila LODEINFO na ogroženi napravi.

Poleg tega smo odkrili, da je MirrorFace uporabil prej nedokumentirano zlonamerno programsko opremo, ki smo jo poimenovali MirrorStealer, za krajo poverilnic svojega cilja. Menimo, da je to prvič, da je bila ta zlonamerna programska oprema javno opisana.

V tej objavi v spletnem dnevniku pokrivamo opažene dejavnosti po kompromisu, vključno z ukazi C&C, poslanimi LODEINFO za izvedbo dejanj. Na podlagi določenih dejavnosti, izvedenih na prizadetem računalniku, menimo, da je operater MirrorFace izdal ukaze LODEINFO na ročni ali polročni način.

Začetni dostop

MirrorFace je napad začel 29. junija^th, 2022, distributing spearphishing emails with a malicious attachment to the targets. The subject of the email was SNS用動画 拡散のお願い (prevod iz Google Prevajalnika: [Important] Request for spreading videos for SNS). Slika 1 in Slika 2 prikazujeta njegovo vsebino.

Slika 2. Prevedena različica

MirrorFace, ki naj bi bil oddelek za odnose z javnostmi japonske politične stranke, je prosil prejemnike, naj razdelijo priložene videoposnetke na svojih profilih družbenih medijev (SNS – Social Network Service), da bi dodatno okrepili strankin PR in zagotovili zmago v domu svetnikov. Poleg tega e-poštno sporočilo vsebuje jasna navodila o strategiji objave videoposnetkov.

Ker so bile volitve v dom svetnikov 10. julija^th2022, to e-poštno sporočilo jasno kaže, da je MirrorFace iskal priložnost za napad na politične subjekte. Prav tako določena vsebina v elektronskem sporočilu nakazuje, da so bili tarča člani določene politične stranke.

MirrorFace je v kampanji uporabil tudi drugo lažno e-poštno sporočilo, kjer je bila priloga naslovljena 【参考】220628発・選挙管理委員会宛文書（添書分）.exe (prevod iz Google Translate: [Reference] 220628 Documents from the Ministry of to election administration committee (appendix).exe). Priložen dokument z vabo (prikazan na sliki 3) se sklicuje tudi na volitve v zbornico svetnikov.

Slika 3. Dokument vabe, prikazan tarči

In both cases, the emails contained malicious attachments in the form of self-extracting WinRAR archives with deceptive names SNS用動画 拡散のお願い.exe (prevod iz Google Translate: Zahteva za širjenje videoposnetkov za SNS.exe) in 【参考】220628発・選挙管理委員会宛文書（添書分）.exe (prevod iz Google Translate: [Reference] 220628 Documents from the Ministry of to election administration committee (appendix).exe) oz.

Ti EXE ekstrahirajo svojo arhivirano vsebino v % Temp% mapo. Ekstrahirane so zlasti štiri datoteke:

• K7SysMon.exe, benigna aplikacija, ki jo je razvil K7 Computing Pvt Ltd, ranljiva za ugrabitev naročila iskanja DLL
• K7SysMn1.dll, zlonamerni nalagalnik
• K7SysMon.Exe.db, šifrirana zlonamerna programska oprema LODEINFO
• Dokument za vabo

Nato se dokument z vabo odpre, da zavede tarčo in izgleda benigno. Kot zadnji korak, K7SysMon.exe se izvede, ki naloži zlonamerni nalagalnik K7SysMn1.dll padla zraven. Končno nalagalnik prebere vsebino K7SysMon.Exe.db, ga dešifrira in nato izvede. Upoštevajte, da je ta pristop opazil tudi Kaspersky in ga opisal v svojih poročilo.

Nabor orodij

V tem razdelku opisujemo zlonamerno programsko opremo MirrorFace, uporabljeno v operaciji LiberalFace.

LODEINFO

LODEINFO je stranska vrata MirrorFace, ki se nenehno razvija. JPCERT poročali o prvi različici LODEINFO (v0.1.2), ki se je pojavil okoli decembra 2019; njegova funkcionalnost omogoča zajemanje posnetkov zaslona, ​​beleženje tipk, ubijanje procesov, eksfiltracijo datotek ter izvajanje dodatnih datotek in ukazov. Od takrat smo opazili več sprememb, uvedenih v vsako od njegovih različic. Na primer, različica 0.3.8 (ki smo jo prvič zaznali junija 2020) je dodala ukaz ransom (ki šifrira določene datoteke in mape), različica 0.5.6 (ki smo jo zaznali julija 2021) pa je dodala ukaz config, ki operaterjem omogoča spreminjanje njegove konfiguracije, shranjene v registru. Poleg zgoraj omenjenega poročila JPCERT je v začetku tega leta objavil tudi podrobno analizo zakulisnih vrat LODEINFO. Kaspersky.

V operaciji LiberalFace smo opazili, da operaterji MirrorFace uporabljajo tako navadno LODEINFO kot drugostopenjsko zlonamerno programsko opremo LODEINFO. LODEINFO druge stopnje je mogoče ločiti od običajnega LODEINFO po splošni funkcionalnosti. Zlasti LODEINFO druge stopnje sprejema in izvaja binarne datoteke PE in lupinsko kodo zunaj implementiranih ukazov. Poleg tega lahko LODEINFO druge stopnje obdela ukaz C&C config, ampak funkcionalnost za ukaz odkupnina manjka.

Nazadnje se podatki, prejeti s strežnika C&C, med običajnim LODEINFO in drugostopenjskim razlikujejo. Za drugo stopnjo LODEINFO strežnik C&C dejanskim podatkom doda naključno vsebino spletne strani. Glejte slike 4, slike 5 in slike 6, ki prikazujejo razliko v prejetih podatkih. Upoštevajte, da se vnaprej dodani delček kode razlikuje za vsak prejeti podatkovni tok iz druge stopnje C&C.

Slika 4. Podatki, prejeti iz prve stopnje LODEINFO C&C

Slika 5. Podatki, prejeti iz druge stopnje C&C

Slika 6. Drug podatkovni tok, prejet iz druge stopnje C&C

MirrorStealer

MirrorStealer, interno imenovan 31558_n.dll avtor MirrorFace, je tat poverilnic. Kolikor nam je znano, ta zlonamerna programska oprema ni bila javno opisana. Na splošno MirrorStealer ukrade poverilnice iz različnih aplikacij, kot so brskalniki in e-poštni odjemalci. Zanimivo je, da je ena od ciljnih aplikacij Becky!, e-poštni odjemalec, ki je trenutno na voljo samo na Japonskem. Vse ukradene poverilnice so shranjene v %TEMP%31558.txt in ker MirrorStealer nima zmožnosti izločanja ukradenih podatkov, je to odvisno od druge zlonamerne programske opreme.

Dejavnosti po kompromisu

Med našo raziskavo smo lahko opazili nekaj ukazov, ki so bili izdani ogroženim računalnikom.

Začetno opazovanje okolja

Ko je bil LODEINFO zagnan na ogroženih računalnikih in so se uspešno povezali s strežnikom C&C, je operater začel izdajati ukaze (glejte sliko 7).

Slika 7. Začetno opazovanje okolja s strani operaterja MirrorFace prek LODEINFO

Najprej je operater izdal enega od ukazov LODEINFO, print, da zajamete zaslon ogrožene naprave. Temu je sledil še en ukaz, ls, če želite videti vsebino trenutne mape, v kateri se nahaja LODEINFO (tj. % Temp%). Takoj za tem je operater uporabil LODEINFO za pridobitev omrežnih informacij z zagonom net view in net view /domena. Prvi ukaz vrne seznam računalnikov, povezanih v omrežje, drugi pa seznam razpoložljivih domen.

Kraja poverilnic in piškotkov brskalnika

Po zbiranju teh osnovnih informacij je operater prešel na naslednjo fazo (glej sliko 8).

Slika 8. Tok navodil, poslanih LODEINFO za uvedbo kraja poverilnic, zbiranje poverilnic in piškotkov brskalnika ter njihovo eksfiltracijo v strežnik C&C

Operater je izdal ukaz LODEINFO send s podukazom -spomin dostaviti MirrorStealer zlonamerno programsko opremo na ogroženi stroj. Podukaz -spomin je bil uporabljen za nakazovanje LODEINFO, naj ohrani MirrorStealer v svojem pomnilniku, kar pomeni, da dvojiška datoteka MirrorStealer ni bila nikoli spuščena na disk. Nato ukaz spomin je bil izdan. Ta ukaz je ukazal LODEINFO, naj vzame MirrorStealer in ga vbrizga v sprožene cmd.exe proces in ga zaženite.

Ko je MirrorStealer zbral poverilnice in jih shranil v %temp%31558.txt, je operater uporabil LODEINFO za izločanje poverilnic.

Operaterja so zanimali tudi piškotki brskalnika žrtve. Vendar MirrorStealer nima zmožnosti zbiranja teh. Zato je operater piškotke izločil ročno prek LODEINFO. Najprej je operater uporabil ukaz LODEINFO dir za seznam vsebine map %LocalAppData%GoogleChromeUser podatki in %LocalAppData%MicrosoftEdgeUser podatki. Nato je operater kopiral vse identificirane datoteke piškotkov v % Temp% mapo. Nato je operater z ukazom LODEINFO eksfiltriral vse zbrane datoteke piškotkov rekv. Na koncu je operater izbrisal kopirane datoteke piškotkov iz % Temp% mapo, da bi odstranili sledi.

Kraja dokumentov in elektronske pošte

V naslednjem koraku je operater eksfiltriral dokumente različnih vrst ter shranjeno elektronsko pošto (glej sliko 9).

Slika 9. Potek navodil, poslanih v LODEINFO za izločanje zanimivih datotek

Za to je operater najprej uporabil LODEINFO za dostavo arhivarja WinRAR (rar.exe). Uporaba rar.exe, je operater zbral in arhiviral zanimive datoteke, ki so bile spremenjene po 2022. 01. 01, iz map %USERPROFILE% in C:$Recycle.Bin. Operaterja so zanimale vse take datoteke s končnicami .doc *, .ppt*, .xls*, .jtd, .eml, .*xpsin . Pdf.

Upoštevajte, da so MirrorFace poleg običajnih vrst dokumentov zanimale tudi datoteke z .jtd razširitev. To predstavlja dokumente japonskega urejevalnika besedil Ichitaro razvil JustSystems.

Ko je bil arhiv ustvarjen, je operater dostavil odjemalca protokola varnega kopiranja (SCP) iz PuTTY nadaljevano (pscp.exe) in ga nato uporabil za eksfiltracijo pravkar ustvarjenega arhiva RAR na strežnik na naslovu 45.32.13[.]180. Ta naslov IP ni bil opažen v prejšnji dejavnosti MirrorFace in ni bil uporabljen kot strežnik C&C v nobeni zlonamerni programski opremi LODEINFO, ki smo jo opazili. Takoj po eksfiltraciji arhiva je operater izbrisal rar.exe, pscp.exein arhiv RAR za brisanje sledi dejavnosti.

Uvedba druge stopnje LODEINFO

Zadnji korak, ki smo ga opazili, je bila dostava LODEINFO druge stopnje (glejte sliko 10).

Slika 10. Tok navodil, poslanih v LODEINFO za uvedbo druge stopnje LODEINFO

Operater je dostavil naslednje binarne datoteke: JSESPR.dll, JsSchHlp.exein vcruntime140.dll na ogroženi stroj. Izvirnik JsSchHlp.exe je benigna aplikacija, ki jo podpisuje JUSTSYSTEMS CORPORATION (proizvajalec prej omenjenega japonskega urejevalnika besedil Ichitaro). Vendar je v tem primeru operater MirrorFace zlorabil znano Microsoftovo preverjanje digitalnega podpisa vprašanje in dodal šifrirane podatke RC4 JsSchHlp.exe digitalni podpis. Zaradi omenjene težave Windows še vedno upošteva spremenjeno JsSchHlp.exe biti veljavno podpisan.

JsSchHlp.exe je tudi dovzeten za stransko nalaganje DLL. Zato je ob usmrtitvi zasajeno JSESPR.dll je naložen (glej sliko 11).

Slika 11. Potek izvajanja druge stopnje LODEINFO

JSESPR.dll je zlonamerni nakladalnik, ki bere priloženi tovor iz JsSchHlp.exe, ga dešifrira in zažene. Koristna obremenitev je LODEINFO druge stopnje in ko je operater deloval, je uporabil običajni LODEINFO za nastavitev obstojnosti za drugo stopnjo. Zlasti operater je vodil reg.exe pripomoček za dodajanje vrednosti z imenom JsSchHlp k Run registrski ključ, ki drži pot do JsSchHlp.exe.

Vendar se nam zdi, da operaterju ni uspelo vzpostaviti pravilne komunikacije LODEINFO druge stopnje s strežnikom C&C. Zato nam vsi nadaljnji koraki operaterja, ki uporablja drugostopenjski LODEINFO, ostajajo neznani.

Zanimiva opažanja

Med preiskavo smo ugotovili nekaj zanimivih ugotovitev. Eden od njih je, da je operater naredil nekaj napak in tipkarskih napak pri izdajanju ukazov za LODEINFO. Na primer, operater je poslal niz cmd /c imenik "c:use" do LODEINFO, ki naj bi najverjetneje bil cmd /c imenik “c:uporabniki”.

To nakazuje, da operater izdaja ukaze LODEINFO na ročni ali polročni način.

Naše naslednje opažanje je, da čeprav je operater izvedel nekaj čiščenj, da bi odstranil sledi kompromisa, je operater pozabil izbrisati %temp%31558.txt – dnevnik z ukradenimi poverilnicami. Tako je vsaj ta sled ostala na ogroženem stroju in nam kaže, da operater ni bil temeljit v procesu čiščenja.

zaključek

MirrorFace si še naprej prizadeva za cilje visoke vrednosti na Japonskem. V operaciji LiberalFace se je posebej osredotočil na politične subjekte, ki so izrabljali takrat prihajajoče volitve v dom svetnikov v svojo korist. Še bolj zanimivo je, da naše ugotovitve kažejo, da je MirrorFace še posebej osredotočen na člane določene politične stranke.

Med preiskavo operacije LiberalFace nam je uspelo odkriti dodatne TTP-je MirrorFace, kot je namestitev in uporaba dodatne zlonamerne programske opreme in orodij za zbiranje in izločanje dragocenih podatkov žrtev. Poleg tega je naša preiskava pokazala, da so operaterji MirrorFace nekoliko neprevidni, puščajo sledi in delajo različne napake.

IoC

datoteke

mreža

Tehnike MITER ATT&CK

Ta tabela je bila izdelana z uporabo različica 12 okvira MITER ATT&CK.

Upoštevajte, da čeprav ta objava v spletnem dnevniku ne zagotavlja popolnega pregleda zmožnosti LODEINFO, ker so te informacije že na voljo v drugih publikacijah, spodnja tabela MITER ATT&CK vsebuje vse tehnike, povezane z njo.