ESET araştırmacıları, Meclis Üyeleri seçimlerinden birkaç hafta önce Japon siyasi varlıklarını hedef alan bir hedefli kimlik avı kampanyası keşfettiler ve bu süreçte daha önce tanımlanmamış bir MirrorFace kimlik bilgisi hırsızını ortaya çıkardılar.
ESET araştırmacıları, olaydan önceki haftalarda başlatılan bir hedefli kimlik avı kampanyası keşfetti. Japon Meclis Meclisi seçimi Temmuz 2022'de, ESET Research'ün MirrorFace olarak izlediği APT grubu tarafından. LiberalFace Operasyonu adını verdiğimiz kampanya, Japon siyasi oluşumlarını hedef aldı; araştırmamız, belirli bir siyasi partinin üyelerinin bu kampanyada özellikle odak noktası olduğunu ortaya çıkardı. ESET Research, bu kampanya ve arkasındaki APT grubuyla ilgili ayrıntıları ortaya çıkardı. AVAR 2022 konferansı bu ayın başında.
- 2022 Haziran ayının sonunda MirrorFace, Japon siyasi oluşumlarını hedef alan ve Operasyon LiberalFace adını verdiğimiz bir kampanya başlattı.
- Hedeflere, grubun amiral gemisi arka kapısı LODEINFO'yu içeren spearphishing e-posta mesajları gönderildi.
- LODEINFO, ek kötü amaçlı yazılım dağıtmak, kurbanın kimlik bilgilerini çalmak ve kurbanın belgelerini ve e-postalarını çalmak için kullanıldı.
- MirrorStealer olarak adlandırdığımız daha önce tanımlanmamış bir kimlik bilgisi hırsızı, LiberalFace Operasyonunda kullanıldı.
- ESET Araştırması, uzlaşma sonrası etkinliklerin bir analizini gerçekleştirdi; bu da, gözlemlenen eylemlerin manuel veya yarı manuel olarak gerçekleştirildiğini gösteriyor.
- Bu kampanya ile ilgili detaylar şu adreste paylaşıldı: AVAR 2022 konferansı.
MirrorFace, Japonya merkezli şirketleri ve kuruluşları hedef alan Çince konuşan bir tehdit aktörüdür. Bu tehdit aktörünün APT10 ile ilgili olabileceğine dair bazı spekülasyonlar olsa da (Macnica, Kaspersky), ESET onu bilinen herhangi bir APT grubuyla ilişkilendiremez. Bu nedenle, onu MirrorFace olarak adlandırdığımız ayrı bir varlık olarak izliyoruz. Özellikle, özellikle Japonya'daki hedeflere karşı kullanılan özel kötü amaçlı yazılımı MirrorFace ve LODEINFO, rapor medyayı, savunmayla ilgili şirketleri, düşünce kuruluşlarını, diplomatik kuruluşları ve akademik kurumları hedef alıyor. MirrorFace'in amacı casusluk yapmak ve ilgilenilen dosyaların çalınmasıdır.
LiberalFace Operasyonunu şu göstergelere dayanarak MirrorFace ile ilişkilendiriyoruz:
- Bildiğimiz kadarıyla, LODEINFO kötü amaçlı yazılımı yalnızca MirrorFace tarafından kullanılmaktadır.
- LiberalFace Operasyonunun hedefleri, geleneksel MirrorFace hedeflemesiyle uyumludur.
- İkinci aşama bir LODEINFO kötü amaçlı yazılım örneği, MirrorFace altyapısının bir parçası olarak dahili olarak izlediğimiz bir C&C sunucusuyla bağlantı kurdu.
Operasyon LiberalFace'te gönderilen spearphishing e-postalarından biri, belirli bir Japon siyasi partisinin Halkla İlişkiler departmanından gelen ve Meclis Üyeleri Meclisi seçimleriyle ilgili bir talep içeren resmi bir iletişim gibi görünüyordu ve iddiaya göre önde gelen bir politikacı adına gönderilmişti. Tüm spearphishing e-postaları, yürütüldükten sonra güvenliği ihlal edilmiş makinede LODEINFO'yu dağıtan kötü amaçlı bir ek içeriyordu.
Ek olarak, MirrorFace'in, hedefinin kimlik bilgilerini çalmak için MirrorStealer adını verdiğimiz, daha önce belgelenmemiş kötü amaçlı yazılım kullandığını keşfettik. Bu kötü amaçlı yazılımın ilk kez kamuya açıklandığına inanıyoruz.
Bu blog gönderisinde, eylemleri gerçekleştirmek için LODEINFO'ya gönderilen C&C komutları dahil olmak üzere, gözlemlenen taviz sonrası faaliyetleri ele alıyoruz. Etkilenen makinede gerçekleştirilen belirli etkinliklere dayanarak, MirrorFace operatörünün LODEINFO'ya manuel veya yarı manuel bir şekilde komutlar verdiğini düşünüyoruz.
İlk erişim
MirrorFace saldırıyı 29 Haziran'da başlattıth, 2022, hedeflere kötü amaçlı ek içeren hedef odaklı kimlik avı e-postaları dağıtıyor. E-postanın konusu şuydu: SNS用動画 拡散のお願い (Google Translate'den çeviri: [Önemli] Videoların SNS için yayılması talebi). Şekil 1 ve Şekil 2 içeriğini göstermektedir.
Bir Japon siyasi partisinin PR departmanı olduğunu iddia eden MirrorFace, partinin PR'ını daha da güçlendirmek ve Meclis Üyeleri Meclisi'nde zaferi garantilemek için alıcılardan ekli videoları kendi sosyal medya profillerinde (SNS - Sosyal Ağ Hizmeti) dağıtmalarını istedi. Ayrıca, e-posta, videoların yayınlanma stratejisi hakkında net talimatlar sağlar.
10 Temmuz'da Meclis Başkanlığı seçimi yapıldı.th, 2022, bu e-posta, MirrorFace'in siyasi oluşumlara saldırmak için fırsat kolladığını açıkça gösteriyor. Ayrıca, e-postadaki belirli içerik, belirli bir siyasi partinin üyelerinin hedef alındığını gösteriyor.
MirrorFace ayrıca kampanyada ekin başlığının bulunduğu başka bir hedef odaklı kimlik avı e-postası kullandı. 【Gönderi】220628発・選挙管理委員会宛文書(添書分). Exe (Google Translate'den çeviri: [Referans] 220628 Bakanlığın seçim yönetim komitesine gönderdiği belgeler (ek).exe). Ekteki aldatıcı belge (Şekil 3'te gösterilmiştir) Meclis Üyeleri Meclisi seçimine de atıfta bulunmaktadır.
Her iki durumda da, e-postalar, yanıltıcı adlar içeren, kendiliğinden açılan WinRAR arşivleri biçiminde kötü amaçlı ekler içeriyordu.. Exe (Google Translate'den çeviri: SNS.exe için videoları yayma isteği) ve 【参考】220628発・選挙管理委員会宛文書(添書分). Exe (Google Translate'den çeviri: [Referans] 220628 Bakanlığın seçim yönetim komitesine gönderdiği belgeler (ek).exe) respectivamente.
Bu EXE'ler, arşivlenmiş içeriklerini % TEMP% dosya. Özellikle, dört dosya ayıklanır:
- K7SysMon.exe, K7 Computing Pvt Ltd tarafından DLL arama emri hırsızlığına karşı savunmasız olarak geliştirilen zararsız bir uygulama
- K7SysMn1.dll, kötü niyetli bir yükleyici
- K7SysMon.Exe.db, şifrelenmiş LODEINFO kötü amaçlı yazılımı
- Bir tuzak belge
Ardından hedefi aldatmak ve zararsız görünmek için sahte belge açılır. Son adım olarak, K7SysMon.exe kötü amaçlı yükleyiciyi yükleyen yürütülür K7SysMn1.dll yanına düştü. Son olarak, yükleyici içeriğini okur K7SysMon.Exe.db, şifresini çözer ve ardından yürütür. Bu yaklaşımın Kaspersky tarafından da gözlemlendiğini ve rapor.
Araç Seti
Bu bölümde, LiberalFace Operasyonunda kullanılan kötü amaçlı MirrorFace'i açıklıyoruz.
LODE BİLGİSİ
LODEINFO, sürekli geliştirilmekte olan bir MirrorFace arka kapısıdır. JPCERT ilk sürüm hakkında bildirildi Aralık 0.1.2 civarında ortaya çıkan LODEINFO (v2019); işlevselliği, ekran görüntüleri yakalamaya, keylogging'e, işlemleri öldürmeye, dosyaları dışarı sızdırmaya ve ek dosya ve komutları çalıştırmaya izin verir. O zamandan beri, sürümlerinin her birinde getirilen birkaç değişiklik gözlemledik. Örneğin, 0.3.8 sürümü (ilk olarak Haziran 2020'de tespit ettik) fidye (tanımlı dosya ve klasörleri şifreleyen) komutunu ve 0.5.6 sürümü (Temmuz 2021'de tespit ettiğimiz) komutunu ekledi. yapılandırma, operatörlerin kayıt defterinde depolanan yapılandırmasını değiştirmesine izin verir. Yukarıda belirtilen JPCERT raporlamasının yanı sıra, LODEINFO arka kapısının ayrıntılı bir analizi de bu yılın başlarında tarafından yayınlandı. Kaspersky.
LiberalFace Operasyonunda, MirrorFace operatörlerinin hem normal LODEINFO'yu hem de bizim ikinci aşama LODEINFO kötü amaçlı yazılım dediğimiz şeyi kullandığını gözlemledik. İkinci aşama LODEINFO, genel işlevselliğe bakılarak normal LODEINFO'dan ayırt edilebilir. Özellikle ikinci aşama LODEINFO, uygulanan komutların dışında PE ikili dosyalarını ve kabuk kodunu kabul eder ve çalıştırır. Ayrıca, ikinci aşama LODEINFO, C&C komutunu işleyebilir yapılandırma, ancak komutun işlevselliği fidye eksik.
Son olarak, C&C sunucusundan alınan veriler, normal LODEINFO ile ikinci aşama arasında farklılık gösterir. İkinci aşama LODEINFO için, C&C sunucusu gerçek verilerin başına rastgele web sayfası içeriği ekler. Alınan veri farkını gösteren Şekil 4, Şekil 5 ve Şekil 6'ya bakın. Başa eklenen kod parçacığının, ikinci aşama C&C'den alınan her veri akışı için farklı olduğuna dikkat edin.
ayna hırsızı
MirrorStealer, dahili olarak adlandırılmış 31558_n.dll MirrorFace tarafından, bir kimlik bilgisi hırsızıdır. Bildiğimiz kadarıyla, bu kötü amaçlı yazılım kamuya açıklanmamıştır. Genel olarak MirrorStealer, tarayıcılar ve e-posta istemcileri gibi çeşitli uygulamalardan kimlik bilgilerini çalar. İlginç bir şekilde, hedeflenen uygulamalardan biri Becky!, şu anda yalnızca Japonya'da kullanılabilen bir e-posta istemcisi. Çalınan tüm kimlik bilgileri şurada saklanır: %TEMP%31558.txt ve MirrorStealer çalınan verileri dışarı sızdırma yeteneğine sahip olmadığı için, bunu yapmak için diğer kötü amaçlı yazılımlara bağlıdır.
Uzlaşma sonrası faaliyetler
Araştırmamız sırasında, güvenliği ihlal edilmiş bilgisayarlara verilen bazı komutları gözlemleyebildik.
İlk çevre gözlemi
Güvenliği ihlal edilmiş makinelerde LODEINFO başlatıldıktan ve makineler C&C sunucusuna başarıyla bağlandıktan sonra, bir operatör komutlar vermeye başladı (bkz. Şekil 7).
İlk olarak, operatör LODEINFO komutlarından birini verdi, baskı, güvenliği ihlal edilmiş makinenin ekranını yakalamak için. Bunu başka bir komut takip etti, ls, LODEINFO'nun bulunduğu geçerli klasörün içeriğini görmek için (örn. % TEMP%). Bunun hemen ardından, operatör çalıştırarak ağ bilgilerini elde etmek için LODEINFO'yu kullandı. net görünüm ve net görünüm / etki alanı. İlk komut ağa bağlı bilgisayarların listesini, ikincisi ise kullanılabilir etki alanlarının listesini döndürür.
Kimlik bilgisi ve tarayıcı çerezi çalma
Operatör, bu temel bilgileri topladıktan sonra bir sonraki aşamaya geçti (bkz. Şekil 8).
Operatör, LODEINFO komutunu gönderdi, alt komutla gönder -hafıza teslim etmek ayna hırsızı güvenliği ihlal edilmiş makineye kötü amaçlı yazılım. alt komut -hafıza LODEINFO'ya MirrorStealer'ı hafızasında tutacağını belirtmek için kullanıldı, yani MirrorStealer ikili dosyası asla diske düşmedi. Daha sonra, komut bellek verildiği. Bu komut, LODEINFO'ya MirrorStealer'ı alması, onu spawn'a enjekte etmesi talimatını verdi. cmd.exe işlemi yapın ve çalıştırın.
MirrorStealer kimlik bilgilerini topladıktan ve bunları %temp%31558.txt, operatör kimlik bilgilerini sızdırmak için LODEINFO'yu kullandı.
Operatör, kurbanın tarayıcı tanımlama bilgileriyle de ilgilendi. Ancak MirrorStealer bunları toplama yeteneğine sahip değildir. Bu nedenle, operatör çerezleri LODEINFO aracılığıyla manuel olarak sızdırdı. İlk olarak, operatör LODEINFO komutunu kullandı. dir klasörlerin içeriğini listelemek için %LocalAppData%GoogleChromeKullanıcı Verileri ve %LocalAppData%MicrosoftEdgeKullanıcı Verileri. Ardından, operatör tanımlanan tüm tanımlama bilgisi dosyalarını % TEMP% dosya. Ardından operatör, LODEINFO komutunu kullanarak toplanan tüm çerez dosyalarını dışarı sızdırdı. tekrar. Son olarak, operatör kopyalanan tanımlama bilgisi dosyalarını sunucudan sildi. % TEMP% izleri kaldırma girişiminde klasör.
Belge ve e-posta çalma
Bir sonraki adımda operatör, depolanan e-postaların yanı sıra çeşitli türden belgeleri de sızdırdı (bkz. Şekil 9).
Bunun için operatör, WinRAR arşivleyicisini (rar.exe). kullanma rar.exe, operatör, 2022-01-01'den sonra değiştirilen ilgili dosyaları klasörlerden topladı ve arşivledi %USERPROFILE% ve C:$Recycle.Bin. Operatör, .doktor*, .ppt*, .xls*, .jtd, .Eml, .*xps, ve .pdf.
Yaygın belge türlerinin yanı sıra MirrorFace'in şu özelliklere sahip dosyalarla da ilgilendiğine dikkat edin: .jtd eklenti. Bu, Japonca kelime işlemcinin belgelerini temsil eder İçitaro JustSystems tarafından geliştirilmiştir.
Arşiv oluşturulduktan sonra, operatör Güvenli Kopyalama Protokolü (SCP) istemcisini sunucudan teslim etti. PuTTY devam etti (pscp.exe) ve ardından yeni oluşturulan RAR arşivini şu adresteki sunucuya sızdırmak için kullandı: 45.32.13[.]180. Bu IP adresi önceki MirrorFace etkinliğinde gözlemlenmemişti ve gözlemlediğimiz hiçbir LODEINFO kötü amaçlı yazılımında C&C sunucusu olarak kullanılmamıştı. Arşiv çalındıktan hemen sonra operatör sildi rar.exe, pscp.exeve etkinliğin izlerini temizlemek için RAR arşivi.
İkinci aşama LODEINFO'nun konuşlandırılması
Gözlemlediğimiz son adım, ikinci aşama LODEINFO'yu teslim etmekti (bkz. Şekil 10).
Operatör aşağıdaki ikili dosyaları teslim etti: JSESPR.dll, JsSchHlp.exe, ve vcruntime140.dll güvenliği ihlal edilmiş makineye. Orijinal JsSchHlp.exe JUSTSYSTEMS CORPORATION (daha önce bahsedilen Japonca kelime işlemci Ichitaro'nun yapımcıları) tarafından imzalanmış iyi huylu bir uygulamadır. Ancak bu durumda MirrorFace operatörü bilinen bir Microsoft dijital imza doğrulamasını kötüye kullandı. konu ve RC4 şifreli verileri ekledi. JsSchHlp.exe elektronik imza. Bahsedilen sorun nedeniyle, Windows hala değiştirilenleri dikkate alır. JsSchHlp.exe geçerli bir şekilde imzalanacak.
JsSchHlp.exe ayrıca DLL yandan yüklemeye duyarlıdır. Bu nedenle, infaz üzerine, ekilen JSESPR.dll yüklenir (bkz. Şekil 11).
JSESPR.dll eklenen yükü okuyan kötü amaçlı bir yükleyicidir. JsSchHlp.exe, şifresini çözer ve çalıştırır. Yük, ikinci aşama LODEINFO'dur ve çalıştırıldıktan sonra operatör, ikinci aşama olanın kalıcılığını ayarlamak için normal LODEINFO'yu kullandı. Özellikle, operatör çalıştırdı reg.exe adlı bir değer eklemek için yardımcı program JsSchHlp için koşmak yolunu tutan kayıt defteri anahtarı JsSchHlp.exe.
Ancak, bize öyle geliyor ki operatör, ikinci aşama LODEINFO'nun C&C sunucusuyla doğru şekilde iletişim kurmasını sağlamayı başaramadı. Bu nedenle, ikinci aşama LODEINFO'yu kullanan operatörün diğer adımları bizim için bilinmiyor.
İlginç gözlemler
Soruşturma sırasında birkaç ilginç gözlem yaptık. Bunlardan biri, operatörün LODEINFO'ya komut verirken birkaç hata ve yazım hatası yapmasıdır. Örneğin, operatör dizeyi gönderdi cmd /c dizini “c:kullan” büyük olasılıkla olması gereken LODEINFO'ya cmd /c dizin “c:kullanıcılar”.
Bu, operatörün LODEINFO'ya manuel veya yarı manuel bir şekilde komutlar verdiğini gösterir.
Bir sonraki gözlemimiz, operatörün uzlaşmanın izlerini kaldırmak için birkaç temizlik yapmasına rağmen, operatörün silmeyi unuttuğudur. %temp%31558.txt – çalınan kimlik bilgilerini içeren günlük. Böylece, en azından bu iz, ele geçirilen makinede kaldı ve operatörün temizlik sürecinde titiz olmadığını gösteriyor.
Sonuç
MirrorFace, Japonya'da yüksek değerli hedefleri hedeflemeye devam ediyor. LiberalFace Operasyonu'nda, o zamanki Meclis Üyeleri Meclisi seçimini kendi avantajına kullanan siyasi oluşumları özellikle hedef aldı. Daha da ilginci, bulgularımız MirrorFace'in özellikle belirli bir siyasi partinin üyelerine odaklandığını gösteriyor.
LiberalFace Operasyonu soruşturması sırasında, kurbanlardan değerli verileri toplamak ve sızdırmak için ek kötü amaçlı yazılımların ve araçların konuşlandırılması ve kullanılması gibi daha fazla MirrorFace TTP'sini ortaya çıkarmayı başardık. Ayrıca, araştırmamız MirrorFace operatörlerinin biraz dikkatsiz olduğunu, iz bıraktığını ve çeşitli hatalar yaptığını ortaya çıkardı.
ESET Research ayrıca özel APT istihbarat raporları ve veri beslemeleri sunar. Bu hizmetle ilgili herhangi bir sorunuz için şu adresi ziyaret edin: ESET Tehdit İstihbaratı gidin.
IOCs
dosyalar
SHA-1 | Dosya adı | ESET algılama adı | Açıklama |
---|---|---|---|
F4691FF3B3ACD15653684F372285CAC36C8D0AEF | K7SysMn1.dll | Win32/Agent.ACLP | LODEINFO yükleyici. |
DB81C8719DDAAE40C8D9B9CA103BBE77BE4FCE6C | K7SysMon.Exe.db | N / A | Şifreli LODEINFO. |
A8D2BE15085061B753FDEBBDB08D301A034CE1D5 | JsSchHlp.exe | Win32/Agent.ACLP | JsSchHlp.exe eklenmiş şifreli ikinci aşama LODEINFO ile güvenlik rehberi. |
0AB7BB3FF583E50FBF28B288E71D3BB57F9D1395 | JSESPR.dll | Win32/Agent.ACLP | İkinci aşama LODEINFO yükleyici. |
E888A552B00D810B5521002304D4F11BC249D8ED | 31558_n.dll | Win32/Agent.ACLP | MirrorStealer kimlik bilgisi hırsızı. |
ağ
IP | Provider | İlk görüş | - Detaylar |
---|---|---|---|
5.8.95[.]174 | G-Core Labs SA | 2022-06-13 | LODEINFO C&C sunucusu. |
45.32.13[.]180 | AS-CHOOPA | 2022-06-29 | Veri hırsızlığı için sunucu. |
103.175.16[.]39 | Gigabit Hosting Sdn Bhd | 2022-06-13 | LODEINFO C&C sunucusu. |
167.179.116[.]56 | AS-CHOOPA | 2021-10-20 | www.ninesmn[.]com, ikinci aşama LODEINFO C&C sunucusu. |
172.105.217[.]233 | Linode, LLC | 2021-11-14 | www.aesorunwe[.]com, ikinci aşama LODEINFO C&C sunucusu. |
MITRE ATT&CK teknikleri
Bu tablo kullanılarak yapılmıştır sürümü 12 MITRE ATT&CK çerçevesinin.
Bu bilgi diğer yayınlarda zaten mevcut olduğu için bu blog gönderisinin LODEINFO yeteneklerine ilişkin tam bir genel bakış sağlamamasına rağmen, aşağıdaki MITRE ATT&CK tablosunun onunla ilişkili tüm teknikleri içerdiğini unutmayın.
taktik | ID | Name | Açıklama |
---|---|---|---|
İlk Erişim | T1566.001 | Kimlik Avı: Hedefe Yönelik Kimlik Avı Eki | Hedef odaklı kimlik avı e-postasına kötü amaçlı bir WinRAR SFX arşivi eklenir. |
infaz | T1106 | Yerel API | LODEINFO, dosyaları kullanarak yürütebilir. Oluşturma İşlemi API. |
T1204.002 | Kullanıcı Yürütme: Kötü Amaçlı Dosya | MirrorFace operatörleri, bir kurbanın e-posta yoluyla gönderilen kötü amaçlı bir eki açmasına güvenir. | |
T1559.001 | Süreçler Arası İletişim: Bileşen Nesne Modeli | LODEINFO, Bileşen Nesne Modeli aracılığıyla komutları yürütebilir. | |
Sebat | T1547.001 | Önyükleme veya Oturum Açma Otomatik Başlatma Yürütme: Kayıt Çalıştırma Anahtarları / Başlangıç Klasörü | LODEINFO, bir girdi ekler. HKCU Çalıştır Kalıcılığı sağlamak için anahtar.
MirrorFace operatörlerinin manuel olarak bir giriş eklediğini gözlemledik. HKCU Çalıştır ikinci aşama LODEINFO için kalıcılığı sağlamak için anahtar. |
Savunmadan Kaçınma | T1112 | Kayıt Defterini Değiştir | LODEINFO, yapılandırmasını kayıt defterinde saklayabilir. |
T1055 | Proses Enjeksiyonu | LODEINFO içine kabuk kodu enjekte edebilir cmd.exe. | |
T1140 | Dosyaları veya Bilgileri Gizleme/Kod Çözme | LODEINFO yükleyici, tek baytlık bir XOR veya RC4 kullanarak bir yükün şifresini çözer. | |
T1574.002 | Yürütme Akışını Kaçırma: DLL Yandan Yükleme | MirrorFace, kötü amaçlı bir kitaplığı ve geçerli bir yürütülebilir dosyayı (örn. K7SysMon.exe). | |
Keşif | T1082 | Sistem Bilgisi Keşfi | LODEINFO, güvenliği ihlal edilmiş makinenin parmak izini alır. |
T1083 | Dosya ve Dizin Bulma | LODEINFO, dosya ve dizin listelerini elde edebilir. | |
T1057 | Süreç Keşfi | LODEINFO çalışan işlemleri listeleyebilir. | |
T1033 | Sistem Sahibi/Kullanıcı Keşfi | LODEINFO kurbanın kullanıcı adını alabilir. | |
T1614.001 | Sistem Konumu Keşfi: Sistem Dili Keşfi | LODEINFO, İngilizce dilini kullanmak üzere ayarlanmış bir makinede çalışmadığını doğrulamak için sistem dilini kontrol eder. | |
Koleksiyon | T1560.001 | Toplanan Verileri Arşivle: Yardımcı Program aracılığıyla Arşivle | MirrorFace operatörlerinin toplanan verileri RAR arşivleyiciyi kullanarak arşivlediğini gözlemledik. |
T1114.001 | E-posta Koleksiyonu: Yerel E-posta Koleksiyonu | MirrorFace operatörlerinin saklanan e-posta mesajlarını topladığını gözlemledik. | |
T1056.001 | Giriş Yakalama: Tuş Kaydı | LODEINFO keylogging gerçekleştirir. | |
T1113 | ekran Yakalama | LODEINFO bir ekran görüntüsü alabilir. | |
T1005 | Yerel Sistemden Veriler | MirrorFace operatörlerinin ilgili verileri topladığını ve dışarı sızdırdığını gözlemledik. | |
Komuta ve kontrol | T1071.001 | Uygulama Katmanı Protokolü: Web Protokolleri | LODEINFO, C&C sunucusuyla iletişim kurmak için HTTP protokolünü kullanır. |
T1132.001 | Veri Kodlama: Standart Kodlama | LODEINFO, C&C trafiğini kodlamak için URL güvenli base64 kullanır. | |
T1573.001 | Şifreli Kanal: Simetrik Şifreleme | LODEINFO, C&C trafiğini şifrelemek için AES-256-CBC kullanır. | |
T1001.001 | Veri Gizlemesi: Önemsiz Veri | İkinci aşama LODEINFO C&C, gönderilen verilerin başına çöp ekler. | |
dumping | T1041 | C2 Kanalı Üzerinden Sızma | LODEINFO, dosyaları C&C sunucusuna sızdırabilir. |
T1071.002 | Uygulama Katmanı Protokolü: Dosya Aktarım Protokolleri | Toplanan verileri sızdırmak için Güvenli Kopya Protokolü (SCP) kullanan MirrorFace'i gözlemledik. | |
darbe | T1486 | Etki için Şifrelenmiş Veriler | LODEINFO, kurbanın makinesindeki dosyaları şifreleyebilir. |
- blockchain
- zeka
- cryptocurrency cüzdanlar
- kripto değişimi
- siber güvenlik
- siber suçluların
- Siber güvenlik
- iç güvenlik bakanlığı
- dijital cüzdanlar
- ESET Araştırması
- güvenlik duvarı
- Kaspersky
- kötü amaçlı yazılım
- Mcafee
- NexBLOC
- Platon
- plato yapay zekası
- Plato Veri Zekası
- Plato Oyunu
- PlatoVeri
- plato oyunu
- VPN
- Güvenliği Yaşıyoruz
- web sitesi güvenliği
- zefirnet