ESET-forskare upptäckte en spearphishing-kampanj riktad mot japanska politiska enheter några veckor före valet till House of Councilors, och under processen avslöjade de en tidigare obeskriven MirrorFace-inloggningsstöldare
ESET-forskare upptäckte en spearphishing-kampanj som lanserades under veckorna fram till Valet av japanska rådshuset i juli 2022, av APT-gruppen som ESET Research spårar som MirrorFace. Kampanjen, som vi har kallat Operation LiberalFace, riktade sig till japanska politiska enheter; vår undersökning avslöjade att medlemmarna i ett specifikt politiskt parti var särskilt fokus i denna kampanj. ESET Research avslöjade detaljer om denna kampanj och APT-gruppen bakom den på AVAR 2022 konferens i början av denna månad.
- I slutet av juni 2022 lanserade MirrorFace en kampanj, som vi har kallat Operation LiberalFace, som riktade sig till japanska politiska enheter.
- Spearphishing-e-postmeddelanden som innehöll gruppens flaggskepp bakdörr LODEINFO skickades till målen.
- LODEINFO användes för att leverera ytterligare skadlig programvara, exfiltrera offrets referenser och stjäla offrets dokument och e-postmeddelanden.
- En tidigare obeskriven autentiseringstjuver som vi har döpt till MirrorStealer användes i Operation LiberalFace.
- ESET Research utförde en analys av aktiviteterna efter kompromiss, vilket tyder på att de observerade åtgärderna utfördes på ett manuellt eller halvmanuellt sätt.
- Detaljer om denna kampanj delades på AVAR 2022 konferens.
MirrorFace är en kinesisktalande hotaktör som riktar sig till företag och organisationer baserade i Japan. Även om det finns vissa spekulationer om att denna hotaktör kan vara relaterad till APT10 (Macnica, kaspersky), ESET kan inte tillskriva det till någon känd APT-grupp. Därför spårar vi det som en separat enhet som vi har döpt till MirrorFace. Speciellt har MirrorFace och LODEINFO, dess egenutvecklade skadliga program som används uteslutande mot mål i Japan, varit rapporterade som inriktning på media, försvarsrelaterade företag, tankesmedjor, diplomatiska organisationer och akademiska institutioner. Målet med MirrorFace är spionage och exfiltrering av filer av intresse.
Vi tillskriver Operation LiberalFace till MirrorFace baserat på dessa indikatorer:
- Så vitt vi vet används skadlig programvara LODEINFO exklusivt av MirrorFace.
- Målen för Operation LiberalFace är i linje med traditionell MirrorFace-inriktning.
- Ett prov av LODEINFO skadlig kod i andra steget kontaktade en C&C-server som vi spårar internt som en del av MirrorFace-infrastrukturen.
Ett av spearphishing-e-postmeddelandena som skickades i Operation LiberalFace framställdes som ett officiellt meddelande från PR-avdelningen för ett specifikt japanskt politiskt parti, innehållande en begäran relaterad till valet till House of Councilors, och sändes på uppdrag av en framstående politiker. Alla spearphishing-e-postmeddelanden innehöll en skadlig bilaga som vid körning distribuerade LODEINFO på den komprometterade maskinen.
Dessutom upptäckte vi att MirrorFace har använt tidigare odokumenterad skadlig programvara, som vi har döpt till MirrorStealer, för att stjäla sitt måls autentiseringsuppgifter. Vi tror att detta är första gången denna skadliga programvara har beskrivits offentligt.
I det här blogginlägget täcker vi de observerade aktiviteterna efter kompromiss, inklusive C&C-kommandon som skickats till LODEINFO för att utföra åtgärderna. Baserat på vissa aktiviteter som utförs på den berörda maskinen, tror vi att MirrorFace-operatören utfärdade kommandon till LODEINFO på ett manuellt eller halvmanuellt sätt.
Första åtkomst
MirrorFace startade attacken den 29 junith, 2022, distribuerar spearphishing-e-postmeddelanden med en skadlig bilaga till målen. Ämnet för mejlet var SNS用動画 拡散のお願い (översättning från Google Translate: [Viktigt] Begäran om att sprida videor för SNS). Figur 1 och figur 2 visar dess innehåll.
MirrorFace utgav sig för att vara ett japanskt politiskt partis PR-avdelning och bad mottagarna att distribuera de bifogade videorna på sina egna sociala medieprofiler (SNS – Social Network Service) för att ytterligare stärka partiets PR och för att säkra seger i House of Councillors. Dessutom ger mejlet tydliga instruktioner om videornas publiceringsstrategi.
Sedan valet till fullmäktige hölls den 10 julith, 2022, visar detta e-postmeddelande tydligt att MirrorFace sökte möjligheten att attackera politiska enheter. Specifikt innehåll i e-postmeddelandet indikerar också att medlemmar i ett visst politiskt parti var inriktade på.
MirrorFace använde också ett annat spearphishing-e-postmeddelande i kampanjen, där bilagan hette 【参考】220628発・選挙管理委員会宛文書(添書分).exe (översättning från Google Translate: [Referens] 220628 Dokument från ministeriet till valförvaltningsutskottet (bilaga).exe). Det bifogade lockbetedokumentet (visat i figur 3) hänvisar också till valet av House of Councilors.
I båda fallen innehöll e-postmeddelandena skadliga bilagor i form av självextraherande WinRAR-arkiv med vilseledande namn SNS用動画 拡散のお願い.exe (översättning från Google Translate: Begäran om att sprida videor för SNS.exe) och 【参考】220628発・選挙管理委員会宛文書(添書分).exe (översättning från Google Translate: [Referens] 220628 Dokument från ministeriet till valförvaltningsutskottet (bilaga).exe) respektive.
Dessa EXE extraherar sitt arkiverade innehåll i % TEMP% mapp. I synnerhet extraheras fyra filer:
- K7SysMon.exe, en godartad applikation utvecklad av K7 Computing Pvt Ltd sårbar för DLL-sökorderkapning
- K7SysMn1.dll, en skadlig laddare
- K7SysMon.Exe.db, krypterad LODEINFO skadlig kod
- Ett lockbetedokument
Sedan öppnas lockbetsdokumentet för att lura målet och för att framstå som godartat. Som det sista steget, K7SysMon.exe exekveras vilket laddar den skadliga laddaren K7SysMn1.dll föll bredvid den. Slutligen läser laddaren innehållet i K7SysMon.Exe.db, dekrypterar det och kör det sedan. Observera att detta tillvägagångssätt också observerades av Kaspersky och beskrivs i deras rapport.
Verktygset
I det här avsnittet beskriver vi skadlig programvara MirrorFace som används i Operation LiberalFace.
LODEINFO
LODEINFO är en MirrorFace-bakdörr som är under ständig utveckling. JPCERT rapporterade om den första versionen av LODEINFO (v0.1.2), som dök upp runt december 2019; dess funktionalitet gör det möjligt att ta skärmdumpar, tangentloggning, döda processer, exfiltrera filer och exekvera ytterligare filer och kommandon. Sedan dess har vi observerat flera ändringar som införts i var och en av dess versioner. Till exempel, version 0.3.8 (som vi upptäckte först i juni 2020) lade till kommandot ransom (som krypterar definierade filer och mappar), och version 0.5.6 (som vi upptäckte i juli 2021) lade till kommandot config, vilket gör det möjligt för operatörer att ändra dess konfiguration lagrad i registret. Förutom JPCERT-rapporteringen som nämns ovan, publicerades även en detaljerad analys av LODEINFO-bakdörren tidigare i år av kaspersky.
I Operation LiberalFace observerade vi MirrorFace-operatörer som använder både den vanliga LODEINFO och vad vi kallar den andra etappen LODEINFO malware. Det andra steget LODEINFO kan särskiljas från det vanliga LODEINFO genom att titta på den övergripande funktionaliteten. I synnerhet accepterar och kör andra steget LODEINFO PE-binärer och skalkod utanför de implementerade kommandona. Dessutom kan det andra steget LODEINFO bearbeta C&C-kommandot config, men funktionen för kommandot lösen saknas.
Slutligen skiljer sig data som tas emot från C&C-servern mellan den vanliga LODEINFO och den andra steget. För andra steget LODEINFO lägger C&C-servern slumpmässigt webbsidainnehåll till de faktiska uppgifterna. Se figur 4, figur 5 och figur 6 som visar skillnaden i mottagen data. Observera att det prependerade kodavsnittet skiljer sig för varje mottagen dataström från C&C i andra steget.
MirrorStealer
MirrorStealer, internt namngiven 31558_n.dll av MirrorFace, är en legitimationsstjuver. Så vitt vi vet har denna skadliga programvara inte beskrivits offentligt. I allmänhet stjäl MirrorStealer referenser från olika applikationer som webbläsare och e-postklienter. Intressant nog är en av de riktade applikationerna Becky!, en e-postklient som för närvarande endast är tillgänglig i Japan. Alla stulna referenser lagras i %TEMP%31558.txt och eftersom MirrorStealer inte har förmågan att exfiltrera stulna data, beror det på annan skadlig programvara för att göra det.
Aktiviteter efter kompromisser
Under vår forskning kunde vi observera några av de kommandon som utfärdades till komprometterade datorer.
Inledande miljöobservation
När LODEINFO väl lanserades på de komprometterade maskinerna och de hade lyckats ansluta till C&C-servern, började en operatör att utfärda kommandon (se figur 7).
Först utfärdade operatören ett av LODEINFO-kommandona, skriv ut, för att fånga skärmen på den komprometterade maskinen. Detta följdes av ett annat kommando, ls, för att se innehållet i den aktuella mappen där LODEINFO fanns (dvs. % TEMP%). Direkt efter det använde operatören LODEINFO för att få nätverksinformation genom att köra nettovy och net view /domän. Det första kommandot returnerar listan över datorer som är anslutna till nätverket, medan det andra returnerar listan över tillgängliga domäner.
Stöld av inloggningsuppgifter och webbläsarcookie
Efter att ha samlat in denna grundläggande information, gick operatören till nästa fas (se figur 8).
Operatören utfärdade kommandot LODEINFO skicka med underkommandot -minne att leverera MirrorStealer skadlig programvara till den komprometterade maskinen. Underkommandot -minne användes för att indikera att LODEINFO skulle behålla MirrorStealer i sitt minne, vilket betyder att MirrorStealer-binären aldrig släpptes på disken. Därefter kommandot minne utfärdades. Detta kommando instruerade LODEINFO att ta MirrorStealer, injicera den i spawned cmd.exe process och kör den.
När MirrorStealer hade samlat in referenserna och lagrat dem i %temp%31558.txt, använde operatören LODEINFO för att exfiltrera referenserna.
Operatören var också intresserad av offrets webbläsarcookies. MirrorStealer har dock inte förmågan att samla in dessa. Därför exfiltrerade operatören cookies manuellt via LODEINFO. Först använde operatören kommandot LODEINFO dir för att lista innehållet i mapparna % LocalAppData% GoogleChrome Användardata och %LocalAppData%MicrosoftEdgeUser Data. Sedan kopierade operatören alla identifierade cookiefiler till % TEMP% mapp. Därefter exfiltrerade operatören alla insamlade cookiefiler med kommandot LODEINFO recv. Slutligen raderade operatören de kopierade cookiefilerna från % TEMP% mapp i ett försök att ta bort spåren.
Stöld av dokument och e-post
I nästa steg exfiltrerade operatören dokument av olika slag samt lagrade e-postmeddelanden (se figur 9).
För det använde operatören först LODEINFO för att leverera WinRAR-arkivet (rar.exe). Använder sig av rar.exe, operatören samlade in och arkiverade filer av intresse som ändrades efter 2022-01-01 från mapparna %USERPROFILE% och C:$Recycle.Bin. Operatören var intresserad av alla sådana filer med tilläggen.doc*, .ppt*, .xls*, .jtd, EML, .*xpsoch .pdf.
Lägg märke till att förutom de vanliga dokumenttyperna var MirrorFace också intresserade av filer med .jtd förlängning. Detta representerar dokument från den japanska ordbehandlaren Ichitaro utvecklad av JustSystems.
När arkivet skapades levererade operatören Secure Copy Protocol (SCP)-klienten från PuTTY efter (pscp.exe) och använde den sedan för att exfiltrera det nyss skapade RAR-arkivet till servern på 45.32.13[.]180. Denna IP-adress hade inte observerats i tidigare MirrorFace-aktivitet och hade inte använts som en C&C-server i någon LODEINFO skadlig programvara som vi har observerat. Direkt efter att arkivet exfiltrerades raderade operatören rar.exe, pscp.exe, och RAR-arkivet för att rensa upp spåren av aktiviteten.
Utplacering av andra steget LODEINFO
Det sista steget vi observerade var att leverera det andra steget LODEINFO (se figur 10).
Operatören levererade följande binärer: JSESPR.dll, JsSchHlp.exeoch vcruntime140. dll till den komprometterade maskinen. Originalet JsSchHlp.exe är en godartad applikation signerad av JUSTSYSTEMS CORPORATION (tillverkare av den tidigare nämnda japanska ordbehandlaren, Ichitaro). Men i det här fallet missbrukade MirrorFace-operatören en känd digital signaturverifiering från Microsoft fråga och bifogade RC4-krypterad data till JsSchHlp.exe digital signatur. På grund av det nämnda problemet anser Windows fortfarande det modifierade JsSchHlp.exe vara giltigt undertecknad.
JsSchHlp.exe är också mottaglig för DLL sidladdning. Därför, vid utförande, planterade JSESPR.dll är laddad (se figur 11).
JSESPR.dll är en skadlig laddare som läser den bifogade nyttolasten från JsSchHlp.exe, dekrypterar den och kör den. Nyttolasten är det andra stegets LODEINFO, och när operatören körde använde operatören den vanliga LODEINFO för att ställa in persistensen för det andra steget. I synnerhet drev operatören reg.exe verktyg för att lägga till ett namngivet värde JsSchHlp till Körning registernyckel som håller sökvägen till JsSchHlp.exe.
Det verkar dock för oss att operatören inte lyckades få andra steget LODEINFO att kommunicera korrekt med C&C-servern. Därför förblir alla ytterligare steg av operatören som använder andra steget LODEINFO okända för oss.
Intressanta observationer
Under utredningen gjorde vi några intressanta iakttagelser. En av dem är att operatören gjorde några fel och stavfel när han skickade kommandon till LODEINFO. Till exempel skickade operatören strängen cmd /c dir "c:use" till LODEINFO, vilket med största sannolikhet var tänkt att vara cmd /c dir "c:users".
Detta tyder på att operatören utfärdar kommandon till LODEINFO på ett manuellt eller halvmanuellt sätt.
Vår nästa observation är att även om operatören utförde några rensningar för att ta bort spår av kompromissen, glömde operatören att radera %temp%31558.txt – loggen som innehåller de stulna inloggningsuppgifterna. Således fanns åtminstone detta spår kvar på den komprometterade maskinen och det visar oss att operatören inte var noggrann i saneringsprocessen.
Slutsats
MirrorFace fortsätter att sikta på högvärdiga mål i Japan. I Operation LiberalFace riktade den sig specifikt mot politiska enheter som använde det då kommande valet av fullmäktigeledamöter till sin fördel. Mer intressant är att våra resultat indikerar att MirrorFace särskilt fokuserade på medlemmarna i ett specifikt politiskt parti.
Under Operation LiberalFace-utredningen lyckades vi avslöja ytterligare MirrorFace TTP:er, såsom distribution och användning av ytterligare skadlig programvara och verktyg för att samla in och exfiltrera värdefull data från offer. Dessutom avslöjade vår undersökning att MirrorFace-operatörerna är något slarviga, lämnar spår och gör olika misstag.
ESET Research erbjuder även privata APT-underrättelserapporter och dataflöden. För eventuella frågor om denna tjänst, besök ESET Threat Intelligence sida.
IOCS
Filer
SHA-1 | Filnamn | ESET-detekteringsnamn | Beskrivning |
---|---|---|---|
F4691FF3B3ACD15653684F372285CAC36C8D0AEF | K7SysMn1.dll | Win32/Agent.ACLP | LODEINFO lastare. |
DB81C8719DDAAE40C8D9B9CA103BBE77BE4FCE6C | K7SysMon.Exe.db | N / A | Krypterad LODEINFO. |
A8D2BE15085061B753FDEBBDB08D301A034CE1D5 | JsSchHlp.exe | Win32/Agent.ACLP | JsSchHlp.exe med bifogad krypterad andrastegs LODEINFO i säkerhetskatalog. |
0AB7BB3FF583E50FBF28B288E71D3BB57F9D1395 | JSESPR.dll | Win32/Agent.ACLP | Andra steget LODEINFO-lastare. |
E888A552B00D810B5521002304D4F11BC249D8ED | 31558_n.dll | Win32/Agent.ACLP | MirrorStealer legitimationsstjuver. |
nätverks
IP | Provider | Först sett | Detaljer |
---|---|---|---|
5.8.95[.]174 | G-Core Labs SA | 2022-06-13 | LODEINFO C&C-server. |
45.32.13[.]180 | AS-CHOOPA | 2022-06-29 | Server för dataexfiltrering. |
103.175.16[.]39 | Gigabit Hosting Sdn Bhd | 2022-06-13 | LODEINFO C&C-server. |
167.179.116[.]56 | AS-CHOOPA | 2021-10-20 | www.ninesmn[.]com, andra steget LODEINFO C&C-server. |
172.105.217[.]233 | Linode, LLC | 2021-11-14 | www.aesorunwe[.]com, andra steget LODEINFO C&C-server. |
MITER ATT & CK tekniker
Detta bord byggdes med hjälp av version 12 i MITER ATT&CK-ramverket.
Observera att även om detta blogginlägg inte ger en fullständig översikt över LODEINFO-funktioner eftersom denna information redan finns tillgänglig i andra publikationer, innehåller MITER ATT&CK-tabellen nedan alla tekniker som är associerade med den.
Taktik | ID | Namn | Beskrivning |
---|---|---|---|
Initial åtkomst | T1566.001 | Nätfiske: Spearphishing-bilaga | Ett skadligt WinRAR SFX-arkiv bifogas ett spearphishing-e-postmeddelande. |
Utförande | T1106 | Native API | LODEINFO kan köra filer med hjälp av Skapa ProcessA API. |
T1204.002 | Användarutförande: Skadlig fil | MirrorFace-operatörer litar på att ett offer öppnar en skadlig bilaga som skickas via e-post. | |
T1559.001 | Kommunikation mellan processer: Komponentobjektmodell | LODEINFO kan utföra kommandon via Component Object Model. | |
Persistens | T1547.001 | Starta eller logga in Autostartexekvering: Registry Run Keys / Startup Folder | LODEINFO lägger till en post till HKCU Kör nyckeln för att säkerställa uthållighet.
Vi observerade att MirrorFace-operatörer manuellt lade till en post till HKCU Kör nyckel för att säkerställa uthållighet för andra steget LODEINFO. |
Försvarsflykt | T1112 | Ändra registret | LODEINFO kan lagra sin konfiguration i registret. |
T1055 | Processinjektion | LODEINFO kan injicera skalkod i cmd.exe. | |
T1140 | Deobfuskera/avkoda filer eller information | LODEINFO loader dekrypterar en nyttolast med en enbyte XOR eller RC4. | |
T1574.002 | Kapningsexekveringsflöde: DLL-sidoladdning | MirrorFace sidladdar LODEINFO genom att släppa ett skadligt bibliotek och en legitim körbar fil (t.ex. K7SysMon.exe). | |
Discovery | T1082 | Systeminformation upptäckt | LODEINFO tar fingeravtryck på den komprometterade maskinen. |
T1083 | Arkiv- och katalogupptäckt | LODEINFO kan få fil- och kataloglistor. | |
T1057 | Processupptäckt | LODEINFO kan lista pågående processer. | |
T1033 | Systemägare/användarupptäckt | LODEINFO kan få offrets användarnamn. | |
T1614.001 | System Location Discovery: System Language Discovery | LODEINFO kontrollerar systemspråket för att verifiera att det inte körs på en maskin som är inställd för att använda engelska. | |
Samling | T1560.001 | Arkivera insamlade data: Arkivera via Utility | Vi observerade MirrorFace-operatörer som arkiverade insamlad data med hjälp av RAR-arkiveraren. |
T1114.001 | E-postinsamling: Lokal e-postinsamling | Vi observerade MirrorFace-operatörer som samlade in lagrade e-postmeddelanden. | |
T1056.001 | Input Capture: Keylogging | LODEINFO utför tangentloggning. | |
T1113 | Screen Capture | LODEINFO kan få en skärmdump. | |
T1005 | Data från lokalt system | Vi observerade MirrorFace-operatörer som samlade in och exfiltrerade data av intresse. | |
Command and Control | T1071.001 | Application Layer Protocol: webbprotokoll | LODEINFO använder HTTP-protokollet för att kommunicera med sin C&C-server. |
T1132.001 | Datakodning: Standardkodning | LODEINFO använder URL-safe base64 för att koda sin C&C-trafik. | |
T1573.001 | Krypterad kanal: Symmetrisk kryptografi | LODEINFO använder AES-256-CBC för att kryptera C&C-trafik. | |
T1001.001 | Dataobfuskation: Skräpdata | Andra steget LODEINFO C&C lägger skräp till skickade data. | |
exfiltration | T1041 | Exfiltrering över C2 -kanal | LODEINFO kan exfiltrera filer till C&C-servern. |
T1071.002 | Application Layer Protocol: Filöverföringsprotokoll | Vi observerade MirrorFace med hjälp av Secure Copy Protocol (SCP) för att exfiltrera insamlad data. | |
Inverkan | T1486 | Data krypterad för påverkan | LODEINFO kan kryptera filer på offrets dator. |
- blockchain
- coingenius
- cryptocurrency plånböcker
- kryptoväxling
- Cybersäkerhet
- nätbrottslingar
- Cybersäkerhet
- säkerhetstjänsten
- digitala plånböcker
- ESET Research
- brandvägg
- kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- plato ai
- Platon Data Intelligence
- Platon spel
- PlatonData
- platogaming
- VPN
- Vi lever säkerhet
- webbplats säkerhet
- zephyrnet