Демаскування MirrorFace: операція LiberalFace проти японських політичних організацій

Дослідники ESET виявили кампанію підманного фішингу, запущену за кілька тижнів до Вибори в палату радників Японії у липні 2022 року групою APT, яку ESET Research відстежує як MirrorFace. Кампанія, яку ми назвали Operation LiberalFace, була спрямована на японські політичні організації; наше розслідування показало, що в цій кампанії особливу увагу приділяли членам певної політичної партії. Дослідження ESET розкрили подробиці про цю кампанію та групу APT, що стоїть за нею Конференція АВАР 2022 на початку цього місяця.

MirrorFace — це китайськомовний загрозливий агент, націлений на японські компанії та організації. Хоча є деякі припущення, що ця загроза може бути пов’язана з APT10 (Macnica, Kaspersky), ESET не може віднести його до жодної відомої групи APT. Тому ми відстежуємо його як окрему сутність, яку ми назвали MirrorFace. Зокрема, MirrorFace і LODEINFO, його власні шкідливі програми, що використовуються виключно проти цілей у Японії, були повідомляє як націлювання на засоби масової інформації, оборонні компанії, аналітичні центри, дипломатичні організації та наукові установи. Метою MirrorFace є шпигунство та викрадання цікавих файлів.

Ми відносимо операцію LiberalFace до MirrorFace на основі таких показників:

• Наскільки нам відомо, зловмисне програмне забезпечення LODEINFO використовується виключно MirrorFace.
• Цілі операції LiberalFace узгоджуються з традиційним орієнтуванням MirrorFace.
• Зразок зловмисного програмного забезпечення другого етапу LODEINFO зв’язався з сервером C&C, який ми відстежуємо внутрішньо як частину інфраструктури MirrorFace.

Один із електронних листів, надісланих під час операції LiberalFace, видавався за офіційне повідомлення від PR-відділу певної японської політичної партії, яке містило запит, пов’язаний з виборами в Палату радників, і нібито було надіслано від імені відомого політика. Усі електронні листи містили зловмисне вкладення, яке після виконання розгортало LODEINFO на скомпрометованій машині.

Крім того, ми виявили, що MirrorFace використовував раніше незадокументовану шкідливу програму, яку ми назвали MirrorStealer, щоб викрасти облікові дані своєї цілі. Ми вважаємо, що це перший раз, коли це шкідливе програмне забезпечення було описано публічно.

У цьому дописі в блозі ми розповідаємо про спостережувані дії після компрометації, включаючи команди C&C, надіслані в LODEINFO для виконання дій. Виходячи з певних дій, виконаних на постраждалій машині, ми вважаємо, що оператор MirrorFace надавав команди LODEINFO в ручному або напівручному режимі.

Початковий доступ

MirrorFace розпочав атаку 29 червня^th, 2022, розповсюджуючи цілі електронної пошти зі зловмисним вкладенням. Тема електронного листа була SNS用動画 拡散のお願い (переклад із Google Translate: [Важливо] Прохання про поширення відео для SNS). На рисунках 1 і 2 показано його зміст.

Рисунок 2. Перекладена версія

Представляючи себе PR-відділом японської політичної партії, MirrorFace попросив одержувачів поширити вкладені відео у своїх власних профілях у соціальних мережах (SNS – служба соціальних мереж), щоб ще більше посилити PR партії та забезпечити перемогу в Палаті радників. Крім того, електронний лист містить чіткі інструкції щодо стратегії публікації відео.

Оскільки вибори до Палати рад відбулися 10 липня^th, 2022, цей електронний лист чітко вказує на те, що MirrorFace шукав можливість атакувати політичні організації. Крім того, конкретний вміст в електронному листі вказує на те, що мішенню стали члени певної політичної партії.

У кампанії MirrorFace також використовував інший електронний лист із підманним фішингом, вкладений файл якого мав назву 【参考】220628発・選挙管理委員会宛文書（添書分）.exe (переклад з Google Translate: [Довідка] 220628 Документи від Міністерства до комісії з адміністрування виборів (додаток).exe). Доданий документ-приманка (показаний на малюнку 3) також містить посилання на вибори в Палату радників.

Малюнок 3. Документ-приманка, показаний цілі

В обох випадках електронні листи містили шкідливі вкладення у вигляді саморозпаковуваних архівів WinRAR із оманливими назвами SNS用動画 拡散のお願い.exe (переклад з Google Translate: Запит на розповсюдження відео для SNS.exe) і 【参考】220628発・選挙管理委員会宛文書（添書分）.exe (переклад з Google Translate: [Довідка] 220628 Документи від Міністерства до комісії з адміністрування виборів (додаток).exe) відповідно.

Ці EXE витягують свій архівний вміст у % TEMP% папку. Зокрема, витягуються чотири файли:

• K7SysMon.exe, безпечна програма, розроблена K7 Computing Pvt Ltd, вразлива до викрадення порядку пошуку DLL
• K7SysMn1.dll, шкідливий завантажувач
• K7SysMon.Exe.db, зашифроване зловмисне програмне забезпечення LODEINFO
• Документ-приманка

Потім документ-приманка відкривається, щоб обдурити ціль і виглядати доброякісним. Як останній крок, K7SysMon.exe виконується, що завантажує шкідливий завантажувач K7SysMn1.dll впав поруч із ним. Нарешті, завантажувач читає вміст K7SysMon.Exe.db, розшифровує його, а потім виконує. Зауважте, що цей підхід також був помічений Касперським і описаний у них звітом.

Набір інструментів

У цьому розділі ми описуємо зловмисне програмне забезпечення MirrorFace, яке використовувалося в операції LiberalFace.

LODEINFO

LODEINFO — це бекдор MirrorFace, який постійно вдосконалюється. JPCERT повідомив про першу версію LODEINFO (v0.1.2), який з’явився приблизно в грудні 2019 року; його функціональність дозволяє робити знімки екрана, клавіатурні журнали, зупиняти процеси, вилучати файли та виконувати додаткові файли та команди. Відтоді ми спостерігали кілька змін, внесених до кожної з його версій. Наприклад, версія 0.3.8 (яку ми вперше виявили в червні 2020 року) додала команду ransom (яка шифрує визначені файли та папки), а версія 0.5.6 (яку ми виявили в липні 2021 року) додала команду конфиг, що дозволяє операторам змінювати його конфігурацію, збережену в реєстрі. Окрім звіту JPCERT, згаданого вище, детальний аналіз бекдору LODEINFO також був опублікований на початку цього року Kaspersky.

Під час операції LiberalFace ми спостерігали, як оператори MirrorFace використовували як звичайну програму LODEINFO, так і те, що ми називаємо другою стадією шкідливого програмного забезпечення LODEINFO. Другий етап LODEINFO можна відрізнити від звичайного LODEINFO, дивлячись на загальну функціональність. Зокрема, LODEINFO другого етапу приймає та запускає двійкові файли PE та шелл-код поза реалізованими командами. Крім того, LODEINFO другого етапу може обробляти команду C&C конфиг, але функціональність для команди викуп відсутня.

Нарешті, дані, отримані від C&C-сервера, відрізняються між звичайним LODEINFO та другим етапом. Для другого етапу LODEINFO сервер C&C додає випадковий вміст веб-сторінки до фактичних даних. Дивіться малюнок 4, малюнок 5 і малюнок 6, на якому показано різницю отриманих даних. Зауважте, що доданий фрагмент коду відрізняється для кожного отриманого потоку даних від C&C другого етапу.

Рисунок 4. Дані, отримані від першого етапу LODEINFO C&C

Рисунок 5. Дані, отримані від C&C другого ступеня

Рисунок 6. Інший потік даних, отриманий від C&C другого етапу

MirrorStealer

MirrorStealer з внутрішньою назвою 31558_n.dll від MirrorFace, є крадієм облікових даних. Наскільки нам відомо, ця шкідлива програма не була описана публічно. Загалом MirrorStealer викрадає облікові дані з різних програм, таких як браузери та клієнти електронної пошти. Цікаво, що одним із цільових додатків є Беккі!, поштовий клієнт, який наразі доступний лише в Японії. Усі викрадені облікові дані зберігаються в %TEMP%31558.txt і оскільки MirrorStealer не має можливості викрадати вкрадені дані, це залежить від інших шкідливих програм.

Посткомпромісна діяльність

Під час нашого дослідження ми змогли спостерігати деякі команди, які надсилалися скомпрометованим комп’ютерам.

Початкове спостереження середовища

Коли LODEINFO було запущено на скомпрометованих машинах і вони успішно підключилися до C&C-сервера, оператор почав видавати команди (див. Малюнок 7).

Рисунок 7. Початкове спостереження середовища оператором MirrorFace через LODEINFO

Спочатку оператор видав одну з команд LODEINFO, друк, щоб захопити екран скомпрометованої машини. За цим послідувала інша команда, ls, щоб побачити вміст поточної папки, в якій знаходиться LODEINFO (тобто % TEMP%). Відразу після цього оператор використав LODEINFO для отримання інформації про мережу шляхом запуску чистий вигляд та net view/домен. Перша команда повертає список комп’ютерів, підключених до мережі, а друга повертає список доступних доменів.

Крадіжка облікових даних і файлів cookie браузера

Зібравши цю базову інформацію, оператор перейшов до наступного етапу (див. Малюнок 8).

Малюнок 8. Потік інструкцій, надісланих до LODEINFO для розгортання викрадача облікових даних, збору облікових даних і файлів cookie браузера та їх передачі на сервер C&C

Оператор видав команду LODEINFO відправити з підкомандою -пам'ять доставити MirrorStealer зловмисне програмне забезпечення на скомпрометовану машину. Підкоманда -пам'ять використовувався для вказівки LODEINFO зберігати MirrorStealer у своїй пам’яті, тобто двійковий файл MirrorStealer ніколи не скидався на диск. Згодом наказ пам'ять було видано. Ця команда наказала LODEINFO взяти MirrorStealer, вставити його в створений cmd.exe процес і запустіть його.

Одного разу MirrorStealer зібрав облікові дані та зберіг їх у %temp%31558.txt, оператор використав LODEINFO для вилучення облікових даних.

Оператора також зацікавили файли cookie браузера жертви. Однак MirrorStealer не має можливості збирати їх. Таким чином, оператор вилучив файли cookie вручну через LODEINFO. Спочатку оператор використав команду LODEINFO реж щоб отримати список вмісту папок %LocalAppData%GoogleChromeUser Data та %LocalAppData%MicrosoftEdgeUser Data. Потім оператор скопіював усі ідентифіковані файли cookie в % TEMP% папку. Потім оператор вилучив усі зібрані файли cookie за допомогою команди LODEINFO recv. Нарешті оператор видалив скопійовані файли cookie з % TEMP% у спробі видалити сліди.

Крадіжка документів і електронної пошти

На наступному кроці оператор викрадав документи різного типу, а також збережені електронні листи (див. Малюнок 9).

Рисунок 9. Потік інструкцій, надісланих до LODEINFO для вилучення цікавих файлів

Для цього оператор спочатку використав LODEINFO для доставки архіватора WinRAR (rar.exe). Використання rar.exe, оператор зібрав і заархівував цікаві файли, які були змінені після 2022 з папок %USERPROFILE% і C:$Recycle.Bin. Оператора цікавили всі такі файли з розширеннями .док*, .ppt*, .xls*, .jtd, .eml, .*xps та . Pdf.

Зауважте, що окрім звичайних типів документів, MirrorFace також цікавився файлами з .jtd розширення. Це документи японського текстового процесора Ічітаро розроблений JustSystems.

Після створення архіву оператор доставив клієнт протоколу безпечного копіювання (SCP) із PuTTY продовження (pscp.exe), а потім використав його для вилучення щойно створеного архіву RAR на сервер за адресою 45.32.13[.]180. Ця IP-адреса не спостерігалася під час попередніх дій MirrorFace і не використовувалася як сервер C&C у будь-якій зловмисній програмі LODEINFO, яку ми спостерігали. Одразу після вилучення архіву оператор видалив rar.exe, pscp.exe, а також архів RAR для очищення слідів активності.

Розгортання другого етапу LODEINFO

Останнім кроком, який ми спостерігали, була доставка другого етапу LODEINFO (див. Малюнок 10).

Рисунок 10. Потік інструкцій, надісланих до LODEINFO для розгортання другого етапу LODEINFO

Оператор надав такі двійкові файли: JSESPR.dll, JsSchHlp.exe та vcruntime140.dll до скомпрометованої машини. Оригінальний JsSchHlp.exe це доброякісна програма, підписана JUSTSYSTEMS CORPORATION (виробники згаданого раніше японського текстового процесора Ichitaro). Однак у цьому випадку оператор MirrorFace зловжив відомою перевіркою цифрового підпису Microsoft питання і додав зашифровані дані RC4 до JsSchHlp.exe цифровий підпис. Через згадану проблему Windows все ще вважає модифікованим JsSchHlp.exe бути дійсним підписом.

JsSchHlp.exe також чутливий до бокового завантаження DLL. Тому при розстрілі посадили JSESPR.dll завантажується (див. рис. 11).

Рисунок 11. Потік виконання другого етапу LODEINFO

JSESPR.dll є зловмисним завантажувачем, який зчитує додане корисне навантаження JsSchHlp.exe, розшифровує його та запускає. Корисним навантаженням є LODEINFO другого етапу, і після запуску оператор використовував звичайний LODEINFO, щоб встановити постійність для другого етапу. Зокрема, оператор запустив в reg.exe утиліта для додавання значення з назвою JsSchHlp до прогін ключ реєстру, що містить шлях до JsSchHlp.exe.

Однак, як нам здається, оператору не вдалося змусити LODEINFO другого етапу правильно спілкуватися з сервером C&C. Таким чином, будь-які подальші кроки оператора, який використовує LODEINFO другого етапу, залишаються нам невідомими.

Цікаві спостереження

Під час розслідування ми зробили кілька цікавих спостережень. Одна з них полягає в тому, що оператор допустив кілька помилок і опечаток під час видачі команд LODEINFO. Наприклад, оператор надіслав рядок cmd /c dir «c:use» до LODEINFO, що, швидше за все, мало бути cmd /c каталог «c:користувачі».

Це свідчить про те, що оператор видає команди LODEINFO в ручному або напівручному режимі.

Наше наступне спостереження полягає в тому, що хоча оператор виконав кілька очищень, щоб видалити сліди компрометації, оператор забув видалити %temp%31558.txt – журнал, що містить викрадені облікові дані. Таким чином, принаймні цей слід залишився на скомпрометованій машині, і це показує нам, що оператор не був ретельним у процесі очищення.

Висновок

MirrorFace продовжує націлюватися на високоцінні цілі в Японії. В операції LiberalFace вона спеціально націлилася на політичні організації, які використовували майбутні вибори в Палату радників у своїх інтересах. Що ще цікавіше, наші результати показують, що MirrorFace особливо зосереджений на членах певної політичної партії.

Під час розслідування операції LiberalFace нам вдалося виявити додаткові TTP MirrorFace, такі як розгортання та використання додаткового шкідливого програмного забезпечення та інструментів для збору та вилучення цінних даних від жертв. Крім того, наше розслідування показало, що оператори MirrorFace є дещо недбалими, залишаючи сліди та допускаючи різні помилки.

IoCs

Файли

мережу

Методи MITER ATT & CK

Ця таблиця була побудована за допомогою версія 12 рамки MITER ATT & CK.

Зауважте, що хоча ця публікація в блозі не містить повного огляду можливостей LODEINFO, оскільки ця інформація вже доступна в інших публікаціях, наведена нижче таблиця MITRE ATT&CK містить усі методи, пов’язані з нею.