MirrorFace'in Maskesini Kaldırmak: Japon siyasi varlıklarını hedef alan LiberalFace Operasyonu

ESET araştırmacıları, olaydan önceki haftalarda başlatılan bir hedefli kimlik avı kampanyası keşfetti. Japon Meclis Meclisi seçimi Temmuz 2022'de, ESET Research'ün MirrorFace olarak izlediği APT grubu tarafından. LiberalFace Operasyonu adını verdiğimiz kampanya, Japon siyasi oluşumlarını hedef aldı; araştırmamız, belirli bir siyasi partinin üyelerinin bu kampanyada özellikle odak noktası olduğunu ortaya çıkardı. ESET Research, bu kampanya ve arkasındaki APT grubuyla ilgili ayrıntıları ortaya çıkardı. AVAR 2022 konferansı bu ayın başında.

MirrorFace, Japonya merkezli şirketleri ve kuruluşları hedef alan Çince konuşan bir tehdit aktörüdür. Bu tehdit aktörünün APT10 ile ilgili olabileceğine dair bazı spekülasyonlar olsa da (Macnica, Kaspersky), ESET onu bilinen herhangi bir APT grubuyla ilişkilendiremez. Bu nedenle, onu MirrorFace olarak adlandırdığımız ayrı bir varlık olarak izliyoruz. Özellikle, özellikle Japonya'daki hedeflere karşı kullanılan özel kötü amaçlı yazılımı MirrorFace ve LODEINFO, rapor medyayı, savunmayla ilgili şirketleri, düşünce kuruluşlarını, diplomatik kuruluşları ve akademik kurumları hedef alıyor. MirrorFace'in amacı casusluk yapmak ve ilgilenilen dosyaların çalınmasıdır.

LiberalFace Operasyonunu şu göstergelere dayanarak MirrorFace ile ilişkilendiriyoruz:

• Bildiğimiz kadarıyla, LODEINFO kötü amaçlı yazılımı yalnızca MirrorFace tarafından kullanılmaktadır.
• LiberalFace Operasyonunun hedefleri, geleneksel MirrorFace hedeflemesiyle uyumludur.
• İkinci aşama bir LODEINFO kötü amaçlı yazılım örneği, MirrorFace altyapısının bir parçası olarak dahili olarak izlediğimiz bir C&C sunucusuyla bağlantı kurdu.

Operasyon LiberalFace'te gönderilen spearphishing e-postalarından biri, belirli bir Japon siyasi partisinin Halkla İlişkiler departmanından gelen ve Meclis Üyeleri Meclisi seçimleriyle ilgili bir talep içeren resmi bir iletişim gibi görünüyordu ve iddiaya göre önde gelen bir politikacı adına gönderilmişti. Tüm spearphishing e-postaları, yürütüldükten sonra güvenliği ihlal edilmiş makinede LODEINFO'yu dağıtan kötü amaçlı bir ek içeriyordu.

Ek olarak, MirrorFace'in, hedefinin kimlik bilgilerini çalmak için MirrorStealer adını verdiğimiz, daha önce belgelenmemiş kötü amaçlı yazılım kullandığını keşfettik. Bu kötü amaçlı yazılımın ilk kez kamuya açıklandığına inanıyoruz.

Bu blog gönderisinde, eylemleri gerçekleştirmek için LODEINFO'ya gönderilen C&C komutları dahil olmak üzere, gözlemlenen taviz sonrası faaliyetleri ele alıyoruz. Etkilenen makinede gerçekleştirilen belirli etkinliklere dayanarak, MirrorFace operatörünün LODEINFO'ya manuel veya yarı manuel bir şekilde komutlar verdiğini düşünüyoruz.

İlk erişim

MirrorFace saldırıyı 29 Haziran'da başlattı^th, 2022, hedeflere kötü amaçlı ek içeren hedef odaklı kimlik avı e-postaları dağıtıyor. E-postanın konusu şuydu: SNS用動画 拡散のお願い (Google Translate'den çeviri: [Önemli] Videoların SNS için yayılması talebi). Şekil 1 ve Şekil 2 içeriğini göstermektedir.

Şekil 2. Çevrilmiş versiyon

Bir Japon siyasi partisinin PR departmanı olduğunu iddia eden MirrorFace, partinin PR'ını daha da güçlendirmek ve Meclis Üyeleri Meclisi'nde zaferi garantilemek için alıcılardan ekli videoları kendi sosyal medya profillerinde (SNS - Sosyal Ağ Hizmeti) dağıtmalarını istedi. Ayrıca, e-posta, videoların yayınlanma stratejisi hakkında net talimatlar sağlar.

10 Temmuz'da Meclis Başkanlığı seçimi yapıldı.^th, 2022, bu e-posta, MirrorFace'in siyasi oluşumlara saldırmak için fırsat kolladığını açıkça gösteriyor. Ayrıca, e-postadaki belirli içerik, belirli bir siyasi partinin üyelerinin hedef alındığını gösteriyor.

MirrorFace ayrıca kampanyada ekin başlığının bulunduğu başka bir hedef odaklı kimlik avı e-postası kullandı. 【Gönderi】220628発・選挙管理委員会宛文書（添書分）. Exe (Google Translate'den çeviri: [Referans] 220628 Bakanlığın seçim yönetim komitesine gönderdiği belgeler (ek).exe). Ekteki aldatıcı belge (Şekil 3'te gösterilmiştir) Meclis Üyeleri Meclisi seçimine de atıfta bulunmaktadır.

Şekil 3. Hedefe gösterilen sahte belge

Her iki durumda da, e-postalar, yanıltıcı adlar içeren, kendiliğinden açılan WinRAR arşivleri biçiminde kötü amaçlı ekler içeriyordu.. Exe (Google Translate'den çeviri: SNS.exe için videoları yayma isteği) ve 【参考】220628発・選挙管理委員会宛文書（添書分）. Exe (Google Translate'den çeviri: [Referans] 220628 Bakanlığın seçim yönetim komitesine gönderdiği belgeler (ek).exe) respectivamente.

Bu EXE'ler, arşivlenmiş içeriklerini % TEMP% dosya. Özellikle, dört dosya ayıklanır:

• K7SysMon.exe, K7 Computing Pvt Ltd tarafından DLL arama emri hırsızlığına karşı savunmasız olarak geliştirilen zararsız bir uygulama
• K7SysMn1.dll, kötü niyetli bir yükleyici
• K7SysMon.Exe.db, şifrelenmiş LODEINFO kötü amaçlı yazılımı
• Bir tuzak belge

Ardından hedefi aldatmak ve zararsız görünmek için sahte belge açılır. Son adım olarak, K7SysMon.exe kötü amaçlı yükleyiciyi yükleyen yürütülür K7SysMn1.dll yanına düştü. Son olarak, yükleyici içeriğini okur K7SysMon.Exe.db, şifresini çözer ve ardından yürütür. Bu yaklaşımın Kaspersky tarafından da gözlemlendiğini ve rapor.

Araç Seti

Bu bölümde, LiberalFace Operasyonunda kullanılan kötü amaçlı MirrorFace'i açıklıyoruz.

LODE BİLGİSİ

LODEINFO, sürekli geliştirilmekte olan bir MirrorFace arka kapısıdır. JPCERT ilk sürüm hakkında bildirildi Aralık 0.1.2 civarında ortaya çıkan LODEINFO (v2019); işlevselliği, ekran görüntüleri yakalamaya, keylogging'e, işlemleri öldürmeye, dosyaları dışarı sızdırmaya ve ek dosya ve komutları çalıştırmaya izin verir. O zamandan beri, sürümlerinin her birinde getirilen birkaç değişiklik gözlemledik. Örneğin, 0.3.8 sürümü (ilk olarak Haziran 2020'de tespit ettik) fidye (tanımlı dosya ve klasörleri şifreleyen) komutunu ve 0.5.6 sürümü (Temmuz 2021'de tespit ettiğimiz) komutunu ekledi. yapılandırma, operatörlerin kayıt defterinde depolanan yapılandırmasını değiştirmesine izin verir. Yukarıda belirtilen JPCERT raporlamasının yanı sıra, LODEINFO arka kapısının ayrıntılı bir analizi de bu yılın başlarında tarafından yayınlandı. Kaspersky.

LiberalFace Operasyonunda, MirrorFace operatörlerinin hem normal LODEINFO'yu hem de bizim ikinci aşama LODEINFO kötü amaçlı yazılım dediğimiz şeyi kullandığını gözlemledik. İkinci aşama LODEINFO, genel işlevselliğe bakılarak normal LODEINFO'dan ayırt edilebilir. Özellikle ikinci aşama LODEINFO, uygulanan komutların dışında PE ikili dosyalarını ve kabuk kodunu kabul eder ve çalıştırır. Ayrıca, ikinci aşama LODEINFO, C&C komutunu işleyebilir yapılandırma, ancak komutun işlevselliği fidye eksik.

Son olarak, C&C sunucusundan alınan veriler, normal LODEINFO ile ikinci aşama arasında farklılık gösterir. İkinci aşama LODEINFO için, C&C sunucusu gerçek verilerin başına rastgele web sayfası içeriği ekler. Alınan veri farkını gösteren Şekil 4, Şekil 5 ve Şekil 6'ya bakın. Başa eklenen kod parçacığının, ikinci aşama C&C'den alınan her veri akışı için farklı olduğuna dikkat edin.

Şekil 4. Birinci aşama LODEINFO C&C'den alınan veriler

Şekil 5. İkinci aşama K&K'den alınan veriler

Şekil 6. İkinci aşama C&C'den alınan başka bir veri akışı

ayna hırsızı

MirrorStealer, dahili olarak adlandırılmış 31558_n.dll MirrorFace tarafından, bir kimlik bilgisi hırsızıdır. Bildiğimiz kadarıyla, bu kötü amaçlı yazılım kamuya açıklanmamıştır. Genel olarak MirrorStealer, tarayıcılar ve e-posta istemcileri gibi çeşitli uygulamalardan kimlik bilgilerini çalar. İlginç bir şekilde, hedeflenen uygulamalardan biri Becky!, şu anda yalnızca Japonya'da kullanılabilen bir e-posta istemcisi. Çalınan tüm kimlik bilgileri şurada saklanır: %TEMP%31558.txt ve MirrorStealer çalınan verileri dışarı sızdırma yeteneğine sahip olmadığı için, bunu yapmak için diğer kötü amaçlı yazılımlara bağlıdır.

Uzlaşma sonrası faaliyetler

Araştırmamız sırasında, güvenliği ihlal edilmiş bilgisayarlara verilen bazı komutları gözlemleyebildik.

İlk çevre gözlemi

Güvenliği ihlal edilmiş makinelerde LODEINFO başlatıldıktan ve makineler C&C sunucusuna başarıyla bağlandıktan sonra, bir operatör komutlar vermeye başladı (bkz. Şekil 7).

Şekil 7. MirrorFace operatörünün LODEINFO aracılığıyla ilk ortam gözlemi

İlk olarak, operatör LODEINFO komutlarından birini verdi, baskı, güvenliği ihlal edilmiş makinenin ekranını yakalamak için. Bunu başka bir komut takip etti, ls, LODEINFO'nun bulunduğu geçerli klasörün içeriğini görmek için (örn. % TEMP%). Bunun hemen ardından, operatör çalıştırarak ağ bilgilerini elde etmek için LODEINFO'yu kullandı. net görünüm ve net görünüm / etki alanı. İlk komut ağa bağlı bilgisayarların listesini, ikincisi ise kullanılabilir etki alanlarının listesini döndürür.

Kimlik bilgisi ve tarayıcı çerezi çalma

Operatör, bu temel bilgileri topladıktan sonra bir sonraki aşamaya geçti (bkz. Şekil 8).

Şekil 8. Kimlik bilgisi hırsızını dağıtmak, kimlik bilgilerini ve tarayıcı tanımlama bilgilerini toplamak ve bunları C&C sunucusuna sızdırmak için LODEINFO'ya gönderilen talimatların akışı

Operatör, LODEINFO komutunu gönderdi, alt komutla gönder -hafıza teslim etmek ayna hırsızı güvenliği ihlal edilmiş makineye kötü amaçlı yazılım. alt komut -hafıza LODEINFO'ya MirrorStealer'ı hafızasında tutacağını belirtmek için kullanıldı, yani MirrorStealer ikili dosyası asla diske düşmedi. Daha sonra, komut bellek verildiği. Bu komut, LODEINFO'ya MirrorStealer'ı alması, onu spawn'a enjekte etmesi talimatını verdi. cmd.exe işlemi yapın ve çalıştırın.

MirrorStealer kimlik bilgilerini topladıktan ve bunları %temp%31558.txt, operatör kimlik bilgilerini sızdırmak için LODEINFO'yu kullandı.

Operatör, kurbanın tarayıcı tanımlama bilgileriyle de ilgilendi. Ancak MirrorStealer bunları toplama yeteneğine sahip değildir. Bu nedenle, operatör çerezleri LODEINFO aracılığıyla manuel olarak sızdırdı. İlk olarak, operatör LODEINFO komutunu kullandı. dir klasörlerin içeriğini listelemek için %LocalAppData%GoogleChromeKullanıcı Verileri ve %LocalAppData%MicrosoftEdgeKullanıcı Verileri. Ardından, operatör tanımlanan tüm tanımlama bilgisi dosyalarını % TEMP% dosya. Ardından operatör, LODEINFO komutunu kullanarak toplanan tüm çerez dosyalarını dışarı sızdırdı. tekrar. Son olarak, operatör kopyalanan tanımlama bilgisi dosyalarını sunucudan sildi. % TEMP% izleri kaldırma girişiminde klasör.

Belge ve e-posta çalma

Bir sonraki adımda operatör, depolanan e-postaların yanı sıra çeşitli türden belgeleri de sızdırdı (bkz. Şekil 9).

Şekil 9. İlgilenilen dosyalara sızmak için LODEINFO'ya gönderilen talimatların akışı

Bunun için operatör, WinRAR arşivleyicisini (rar.exe). kullanma rar.exe, operatör, 2022-01-01'den sonra değiştirilen ilgili dosyaları klasörlerden topladı ve arşivledi %USERPROFILE% ve C:$Recycle.Bin. Operatör, .doktor*, .ppt*, .xls*, .jtd, .Eml, .*xps, ve .pdf.

Yaygın belge türlerinin yanı sıra MirrorFace'in şu özelliklere sahip dosyalarla da ilgilendiğine dikkat edin: .jtd eklenti. Bu, Japonca kelime işlemcinin belgelerini temsil eder İçitaro JustSystems tarafından geliştirilmiştir.

Arşiv oluşturulduktan sonra, operatör Güvenli Kopyalama Protokolü (SCP) istemcisini sunucudan teslim etti. PuTTY devam etti (pscp.exe) ve ardından yeni oluşturulan RAR arşivini şu adresteki sunucuya sızdırmak için kullandı: 45.32.13[.]180. Bu IP adresi önceki MirrorFace etkinliğinde gözlemlenmemişti ve gözlemlediğimiz hiçbir LODEINFO kötü amaçlı yazılımında C&C sunucusu olarak kullanılmamıştı. Arşiv çalındıktan hemen sonra operatör sildi rar.exe, pscp.exeve etkinliğin izlerini temizlemek için RAR arşivi.

İkinci aşama LODEINFO'nun konuşlandırılması

Gözlemlediğimiz son adım, ikinci aşama LODEINFO'yu teslim etmekti (bkz. Şekil 10).

Şekil 10. İkinci aşama LODEINFO'yu konuşlandırmak için LODEINFO'ya gönderilen talimat akışı

Operatör aşağıdaki ikili dosyaları teslim etti: JSESPR.dll, JsSchHlp.exe, ve vcruntime140.dll güvenliği ihlal edilmiş makineye. Orijinal JsSchHlp.exe JUSTSYSTEMS CORPORATION (daha önce bahsedilen Japonca kelime işlemci Ichitaro'nun yapımcıları) tarafından imzalanmış iyi huylu bir uygulamadır. Ancak bu durumda MirrorFace operatörü bilinen bir Microsoft dijital imza doğrulamasını kötüye kullandı. konu ve RC4 şifreli verileri ekledi. JsSchHlp.exe elektronik imza. Bahsedilen sorun nedeniyle, Windows hala değiştirilenleri dikkate alır. JsSchHlp.exe geçerli bir şekilde imzalanacak.

JsSchHlp.exe ayrıca DLL yandan yüklemeye duyarlıdır. Bu nedenle, infaz üzerine, ekilen JSESPR.dll yüklenir (bkz. Şekil 11).

Şekil 11. İkinci aşama LODEINFO'nun yürütme akışı

JSESPR.dll eklenen yükü okuyan kötü amaçlı bir yükleyicidir. JsSchHlp.exe, şifresini çözer ve çalıştırır. Yük, ikinci aşama LODEINFO'dur ve çalıştırıldıktan sonra operatör, ikinci aşama olanın kalıcılığını ayarlamak için normal LODEINFO'yu kullandı. Özellikle, operatör çalıştırdı reg.exe adlı bir değer eklemek için yardımcı program JsSchHlp için koşmak yolunu tutan kayıt defteri anahtarı JsSchHlp.exe.

Ancak, bize öyle geliyor ki operatör, ikinci aşama LODEINFO'nun C&C sunucusuyla doğru şekilde iletişim kurmasını sağlamayı başaramadı. Bu nedenle, ikinci aşama LODEINFO'yu kullanan operatörün diğer adımları bizim için bilinmiyor.

İlginç gözlemler

Soruşturma sırasında birkaç ilginç gözlem yaptık. Bunlardan biri, operatörün LODEINFO'ya komut verirken birkaç hata ve yazım hatası yapmasıdır. Örneğin, operatör dizeyi gönderdi cmd /c dizini “c:kullan” büyük olasılıkla olması gereken LODEINFO'ya cmd /c dizin “c:kullanıcılar”.

Bu, operatörün LODEINFO'ya manuel veya yarı manuel bir şekilde komutlar verdiğini gösterir.

Bir sonraki gözlemimiz, operatörün uzlaşmanın izlerini kaldırmak için birkaç temizlik yapmasına rağmen, operatörün silmeyi unuttuğudur. %temp%31558.txt – çalınan kimlik bilgilerini içeren günlük. Böylece, en azından bu iz, ele geçirilen makinede kaldı ve operatörün temizlik sürecinde titiz olmadığını gösteriyor.

Sonuç

MirrorFace, Japonya'da yüksek değerli hedefleri hedeflemeye devam ediyor. LiberalFace Operasyonu'nda, o zamanki Meclis Üyeleri Meclisi seçimini kendi avantajına kullanan siyasi oluşumları özellikle hedef aldı. Daha da ilginci, bulgularımız MirrorFace'in özellikle belirli bir siyasi partinin üyelerine odaklandığını gösteriyor.

LiberalFace Operasyonu soruşturması sırasında, kurbanlardan değerli verileri toplamak ve sızdırmak için ek kötü amaçlı yazılımların ve araçların konuşlandırılması ve kullanılması gibi daha fazla MirrorFace TTP'sini ortaya çıkarmayı başardık. Ayrıca, araştırmamız MirrorFace operatörlerinin biraz dikkatsiz olduğunu, iz bıraktığını ve çeşitli hatalar yaptığını ortaya çıkardı.

IOCs

dosyalar

ağ

MITRE ATT&CK teknikleri

Bu tablo kullanılarak yapılmıştır sürümü 12 MITRE ATT&CK çerçevesinin.

Bu bilgi diğer yayınlarda zaten mevcut olduğu için bu blog gönderisinin LODEINFO yeteneklerine ilişkin tam bir genel bakış sağlamamasına rağmen, aşağıdaki MITRE ATT&CK tablosunun onunla ilişkili tüm teknikleri içerdiğini unutmayın.