Avslöja MirrorFace: Operation LiberalFace riktad mot japanska politiska enheter

ESET-forskare upptäckte en spearphishing-kampanj som lanserades under veckorna fram till Valet av japanska rådshuset i juli 2022, av APT-gruppen som ESET Research spårar som MirrorFace. Kampanjen, som vi har kallat Operation LiberalFace, riktade sig till japanska politiska enheter; vår undersökning avslöjade att medlemmarna i ett specifikt politiskt parti var särskilt fokus i denna kampanj. ESET Research avslöjade detaljer om denna kampanj och APT-gruppen bakom den på AVAR 2022 konferens i början av denna månad.

MirrorFace är en kinesisktalande hotaktör som riktar sig till företag och organisationer baserade i Japan. Även om det finns vissa spekulationer om att denna hotaktör kan vara relaterad till APT10 (Macnica, kaspersky), ESET kan inte tillskriva det till någon känd APT-grupp. Därför spårar vi det som en separat enhet som vi har döpt till MirrorFace. Speciellt har MirrorFace och LODEINFO, dess egenutvecklade skadliga program som används uteslutande mot mål i Japan, varit rapporterade som inriktning på media, försvarsrelaterade företag, tankesmedjor, diplomatiska organisationer och akademiska institutioner. Målet med MirrorFace är spionage och exfiltrering av filer av intresse.

Vi tillskriver Operation LiberalFace till MirrorFace baserat på dessa indikatorer:

• Så vitt vi vet används skadlig programvara LODEINFO exklusivt av MirrorFace.
• Målen för Operation LiberalFace är i linje med traditionell MirrorFace-inriktning.
• Ett prov av LODEINFO skadlig kod i andra steget kontaktade en C&C-server som vi spårar internt som en del av MirrorFace-infrastrukturen.

Ett av spearphishing-e-postmeddelandena som skickades i Operation LiberalFace framställdes som ett officiellt meddelande från PR-avdelningen för ett specifikt japanskt politiskt parti, innehållande en begäran relaterad till valet till House of Councilors, och sändes på uppdrag av en framstående politiker. Alla spearphishing-e-postmeddelanden innehöll en skadlig bilaga som vid körning distribuerade LODEINFO på den komprometterade maskinen.

Dessutom upptäckte vi att MirrorFace har använt tidigare odokumenterad skadlig programvara, som vi har döpt till MirrorStealer, för att stjäla sitt måls autentiseringsuppgifter. Vi tror att detta är första gången denna skadliga programvara har beskrivits offentligt.

I det här blogginlägget täcker vi de observerade aktiviteterna efter kompromiss, inklusive C&C-kommandon som skickats till LODEINFO för att utföra åtgärderna. Baserat på vissa aktiviteter som utförs på den berörda maskinen, tror vi att MirrorFace-operatören utfärdade kommandon till LODEINFO på ett manuellt eller halvmanuellt sätt.

Första åtkomst

MirrorFace startade attacken den 29 juni^th, 2022, distribuerar spearphishing-e-postmeddelanden med en skadlig bilaga till målen. Ämnet för mejlet var SNS用動画 拡散のお願い (översättning från Google Translate: [Viktigt] Begäran om att sprida videor för SNS). Figur 1 och figur 2 visar dess innehåll.

Figur 2. Översatt version

MirrorFace utgav sig för att vara ett japanskt politiskt partis PR-avdelning och bad mottagarna att distribuera de bifogade videorna på sina egna sociala medieprofiler (SNS – Social Network Service) för att ytterligare stärka partiets PR och för att säkra seger i House of Councillors. Dessutom ger mejlet tydliga instruktioner om videornas publiceringsstrategi.

Sedan valet till fullmäktige hölls den 10 juli^th, 2022, visar detta e-postmeddelande tydligt att MirrorFace sökte möjligheten att attackera politiska enheter. Specifikt innehåll i e-postmeddelandet indikerar också att medlemmar i ett visst politiskt parti var inriktade på.

MirrorFace använde också ett annat spearphishing-e-postmeddelande i kampanjen, där bilagan hette 【参考】220628発・選挙管理委員会宛文書（添書分）.exe (översättning från Google Translate: [Referens] 220628 Dokument från ministeriet till valförvaltningsutskottet (bilaga).exe). Det bifogade lockbetedokumentet (visat i figur 3) hänvisar också till valet av House of Councilors.

Figur 3. Lockdokument som visas för målet

I båda fallen innehöll e-postmeddelandena skadliga bilagor i form av självextraherande WinRAR-arkiv med vilseledande namn SNS用動画 拡散のお願い.exe (översättning från Google Translate: Begäran om att sprida videor för SNS.exe) och 【参考】220628発・選挙管理委員会宛文書（添書分）.exe (översättning från Google Translate: [Referens] 220628 Dokument från ministeriet till valförvaltningsutskottet (bilaga).exe) respektive.

Dessa EXE extraherar sitt arkiverade innehåll i % TEMP% mapp. I synnerhet extraheras fyra filer:

• K7SysMon.exe, en godartad applikation utvecklad av K7 Computing Pvt Ltd sårbar för DLL-sökorderkapning
• K7SysMn1.dll, en skadlig laddare
• K7SysMon.Exe.db, krypterad LODEINFO skadlig kod
• Ett lockbetedokument

Sedan öppnas lockbetsdokumentet för att lura målet och för att framstå som godartat. Som det sista steget, K7SysMon.exe exekveras vilket laddar den skadliga laddaren K7SysMn1.dll föll bredvid den. Slutligen läser laddaren innehållet i K7SysMon.Exe.db, dekrypterar det och kör det sedan. Observera att detta tillvägagångssätt också observerades av Kaspersky och beskrivs i deras rapport.

Verktygset

I det här avsnittet beskriver vi skadlig programvara MirrorFace som används i Operation LiberalFace.

LODEINFO

LODEINFO är en MirrorFace-bakdörr som är under ständig utveckling. JPCERT rapporterade om den första versionen av LODEINFO (v0.1.2), som dök upp runt december 2019; dess funktionalitet gör det möjligt att ta skärmdumpar, tangentloggning, döda processer, exfiltrera filer och exekvera ytterligare filer och kommandon. Sedan dess har vi observerat flera ändringar som införts i var och en av dess versioner. Till exempel, version 0.3.8 (som vi upptäckte först i juni 2020) lade till kommandot ransom (som krypterar definierade filer och mappar), och version 0.5.6 (som vi upptäckte i juli 2021) lade till kommandot config, vilket gör det möjligt för operatörer att ändra dess konfiguration lagrad i registret. Förutom JPCERT-rapporteringen som nämns ovan, publicerades även en detaljerad analys av LODEINFO-bakdörren tidigare i år av kaspersky.

I Operation LiberalFace observerade vi MirrorFace-operatörer som använder både den vanliga LODEINFO och vad vi kallar den andra etappen LODEINFO malware. Det andra steget LODEINFO kan särskiljas från det vanliga LODEINFO genom att titta på den övergripande funktionaliteten. I synnerhet accepterar och kör andra steget LODEINFO PE-binärer och skalkod utanför de implementerade kommandona. Dessutom kan det andra steget LODEINFO bearbeta C&C-kommandot config, men funktionen för kommandot lösen saknas.

Slutligen skiljer sig data som tas emot från C&C-servern mellan den vanliga LODEINFO och den andra steget. För andra steget LODEINFO lägger C&C-servern slumpmässigt webbsidainnehåll till de faktiska uppgifterna. Se figur 4, figur 5 och figur 6 som visar skillnaden i mottagen data. Observera att det prependerade kodavsnittet skiljer sig för varje mottagen dataström från C&C i andra steget.

Figur 4. Data mottagna från första steget LODEINFO C&C

Figur 5. Data mottagna från andra steget C&C

Figur 6. En annan dataström mottagen från C&C i andra steget

MirrorStealer

MirrorStealer, internt namngiven 31558_n.dll av MirrorFace, är en legitimationsstjuver. Så vitt vi vet har denna skadliga programvara inte beskrivits offentligt. I allmänhet stjäl MirrorStealer referenser från olika applikationer som webbläsare och e-postklienter. Intressant nog är en av de riktade applikationerna Becky!, en e-postklient som för närvarande endast är tillgänglig i Japan. Alla stulna referenser lagras i %TEMP%31558.txt och eftersom MirrorStealer inte har förmågan att exfiltrera stulna data, beror det på annan skadlig programvara för att göra det.

Aktiviteter efter kompromisser

Under vår forskning kunde vi observera några av de kommandon som utfärdades till komprometterade datorer.

Inledande miljöobservation

När LODEINFO väl lanserades på de komprometterade maskinerna och de hade lyckats ansluta till C&C-servern, började en operatör att utfärda kommandon (se figur 7).

Figur 7. Inledande miljöobservation av MirrorFace-operatören via LODEINFO

Först utfärdade operatören ett av LODEINFO-kommandona, skriv ut, för att fånga skärmen på den komprometterade maskinen. Detta följdes av ett annat kommando, ls, för att se innehållet i den aktuella mappen där LODEINFO fanns (dvs. % TEMP%). Direkt efter det använde operatören LODEINFO för att få nätverksinformation genom att köra nettovy och net view /domän. Det första kommandot returnerar listan över datorer som är anslutna till nätverket, medan det andra returnerar listan över tillgängliga domäner.

Stöld av inloggningsuppgifter och webbläsarcookie

Efter att ha samlat in denna grundläggande information, gick operatören till nästa fas (se figur 8).

Figur 8. Flöde av instruktioner som skickats till LODEINFO för att distribuera autentiseringsstjälare, samla in autentiseringsuppgifter och webbläsarcookies och exfiltrera dem till C&C-servern

Operatören utfärdade kommandot LODEINFO skicka med underkommandot -minne att leverera MirrorStealer skadlig programvara till den komprometterade maskinen. Underkommandot -minne användes för att indikera att LODEINFO skulle behålla MirrorStealer i sitt minne, vilket betyder att MirrorStealer-binären aldrig släpptes på disken. Därefter kommandot minne utfärdades. Detta kommando instruerade LODEINFO att ta MirrorStealer, injicera den i spawned cmd.exe process och kör den.

När MirrorStealer hade samlat in referenserna och lagrat dem i %temp%31558.txt, använde operatören LODEINFO för att exfiltrera referenserna.

Operatören var också intresserad av offrets webbläsarcookies. MirrorStealer har dock inte förmågan att samla in dessa. Därför exfiltrerade operatören cookies manuellt via LODEINFO. Först använde operatören kommandot LODEINFO dir för att lista innehållet i mapparna % LocalAppData% GoogleChrome Användardata och %LocalAppData%MicrosoftEdgeUser Data. Sedan kopierade operatören alla identifierade cookiefiler till % TEMP% mapp. Därefter exfiltrerade operatören alla insamlade cookiefiler med kommandot LODEINFO recv. Slutligen raderade operatören de kopierade cookiefilerna från % TEMP% mapp i ett försök att ta bort spåren.

Stöld av dokument och e-post

I nästa steg exfiltrerade operatören dokument av olika slag samt lagrade e-postmeddelanden (se figur 9).

Figur 9. Flöde av instruktionerna som skickas till LODEINFO för att exfiltrera filer av intresse

För det använde operatören först LODEINFO för att leverera WinRAR-arkivet (rar.exe). Använder sig av rar.exe, operatören samlade in och arkiverade filer av intresse som ändrades efter 2022-01-01 från mapparna %USERPROFILE% och C:$Recycle.Bin. Operatören var intresserad av alla sådana filer med tilläggen.doc*, .ppt*, .xls*, .jtd, EML, .*xpsoch .pdf.

Lägg märke till att förutom de vanliga dokumenttyperna var MirrorFace också intresserade av filer med .jtd förlängning. Detta representerar dokument från den japanska ordbehandlaren Ichitaro utvecklad av JustSystems.

När arkivet skapades levererade operatören Secure Copy Protocol (SCP)-klienten från PuTTY efter (pscp.exe) och använde den sedan för att exfiltrera det nyss skapade RAR-arkivet till servern på 45.32.13[.]180. Denna IP-adress hade inte observerats i tidigare MirrorFace-aktivitet och hade inte använts som en C&C-server i någon LODEINFO skadlig programvara som vi har observerat. Direkt efter att arkivet exfiltrerades raderade operatören rar.exe, pscp.exe, och RAR-arkivet för att rensa upp spåren av aktiviteten.

Utplacering av andra steget LODEINFO

Det sista steget vi observerade var att leverera det andra steget LODEINFO (se figur 10).

Figur 10. Flöde av instruktioner som skickas till LODEINFO för att distribuera andra steget LODEINFO

Operatören levererade följande binärer: JSESPR.dll, JsSchHlp.exeoch vcruntime140. dll till den komprometterade maskinen. Originalet JsSchHlp.exe är en godartad applikation signerad av JUSTSYSTEMS CORPORATION (tillverkare av den tidigare nämnda japanska ordbehandlaren, Ichitaro). Men i det här fallet missbrukade MirrorFace-operatören en känd digital signaturverifiering från Microsoft fråga och bifogade RC4-krypterad data till JsSchHlp.exe digital signatur. På grund av det nämnda problemet anser Windows fortfarande det modifierade JsSchHlp.exe vara giltigt undertecknad.

JsSchHlp.exe är också mottaglig för DLL sidladdning. Därför, vid utförande, planterade JSESPR.dll är laddad (se figur 11).

Figur 11. Utförandeflöde av andra steget LODEINFO

JSESPR.dll är en skadlig laddare som läser den bifogade nyttolasten från JsSchHlp.exe, dekrypterar den och kör den. Nyttolasten är det andra stegets LODEINFO, och när operatören körde använde operatören den vanliga LODEINFO för att ställa in persistensen för det andra steget. I synnerhet drev operatören reg.exe verktyg för att lägga till ett namngivet värde JsSchHlp till Körning registernyckel som håller sökvägen till JsSchHlp.exe.

Det verkar dock för oss att operatören inte lyckades få andra steget LODEINFO att kommunicera korrekt med C&C-servern. Därför förblir alla ytterligare steg av operatören som använder andra steget LODEINFO okända för oss.

Intressanta observationer

Under utredningen gjorde vi några intressanta iakttagelser. En av dem är att operatören gjorde några fel och stavfel när han skickade kommandon till LODEINFO. Till exempel skickade operatören strängen cmd /c dir "c:use" till LODEINFO, vilket med största sannolikhet var tänkt att vara cmd /c dir "c:users".

Detta tyder på att operatören utfärdar kommandon till LODEINFO på ett manuellt eller halvmanuellt sätt.

Vår nästa observation är att även om operatören utförde några rensningar för att ta bort spår av kompromissen, glömde operatören att radera %temp%31558.txt – loggen som innehåller de stulna inloggningsuppgifterna. Således fanns åtminstone detta spår kvar på den komprometterade maskinen och det visar oss att operatören inte var noggrann i saneringsprocessen.

Slutsats

MirrorFace fortsätter att sikta på högvärdiga mål i Japan. I Operation LiberalFace riktade den sig specifikt mot politiska enheter som använde det då kommande valet av fullmäktigeledamöter till sin fördel. Mer intressant är att våra resultat indikerar att MirrorFace särskilt fokuserade på medlemmarna i ett specifikt politiskt parti.

Under Operation LiberalFace-utredningen lyckades vi avslöja ytterligare MirrorFace TTP:er, såsom distribution och användning av ytterligare skadlig programvara och verktyg för att samla in och exfiltrera värdefull data från offer. Dessutom avslöjade vår undersökning att MirrorFace-operatörerna är något slarviga, lämnar spår och gör olika misstag.

IOCS

Filer

nätverks

MITER ATT & CK tekniker

Detta bord byggdes med hjälp av version 12 i MITER ATT&CK-ramverket.

Observera att även om detta blogginlägg inte ger en fullständig översikt över LODEINFO-funktioner eftersom denna information redan finns tillgänglig i andra publikationer, innehåller MITER ATT&CK-tabellen nedan alla tekniker som är associerade med den.