آئینے کے چہرے سے نقاب ہٹانا: جاپانی سیاسی اداروں کو نشانہ بنانے والا آپریشن لبرل فیس

ای ایس ای ٹی کے محققین نے ایک نیزہ بازی مہم دریافت کی، جو کہ شروع ہونے والے ہفتوں میں شروع کی گئی۔ جاپانی ہاؤس آف کونسلرز کے انتخابات جولائی 2022 میں، APT گروپ کے ذریعے جو ESET ریسرچ کو MirrorFace کے طور پر ٹریک کرتا ہے۔ مہم، جسے ہم نے آپریشن لبرل فیس کا نام دیا ہے، جاپانی سیاسی اداروں کو نشانہ بنایا؛ ہماری تحقیقات سے پتا چلا ہے کہ اس مہم میں ایک مخصوص سیاسی جماعت کے ارکان کی خاص توجہ تھی۔ ای ایس ای ٹی ریسرچ نے اس مہم اور اس کے پیچھے اے پی ٹی گروپ کے بارے میں تفصیلات سے پردہ اٹھایا AVAR 2022 کانفرنس اس مہینے کے آغاز میں

MirrorFace ایک چینی بولنے والا دھمکی آمیز اداکار ہے جو جاپان میں مقیم کمپنیوں اور تنظیموں کو نشانہ بناتا ہے۔ جبکہ کچھ قیاس آرائیاں ہیں کہ اس دھمکی آمیز اداکار کا تعلق APT10 سے ہو سکتا ہے (میکنیکا۔, Kaspersky)، ESET اسے کسی بھی معروف APT گروپ سے منسوب کرنے سے قاصر ہے۔ لہذا، ہم اسے ایک علیحدہ ہستی کے طور پر ٹریک کر رہے ہیں جسے ہم نے MirrorFace کا نام دیا ہے۔ خاص طور پر، MirrorFace اور LODEINFO، جاپان میں اہداف کے خلاف خصوصی طور پر استعمال ہونے والے اس کے ملکیتی مالویئر، رپورٹ کے مطابق میڈیا، دفاع سے متعلقہ کمپنیوں، تھنک ٹینکس، سفارتی تنظیموں اور تعلیمی اداروں کو نشانہ بنانے کے طور پر۔ MirrorFace کا مقصد جاسوسی اور دلچسپی کی فائلوں کو نکالنا ہے۔

ہم ان اشارے کی بنیاد پر آپریشن LiberalFace کو MirrorFace سے منسوب کرتے ہیں:

• ہماری بہترین معلومات کے مطابق، LODEINFO میلویئر کو خصوصی طور پر MirrorFace استعمال کرتا ہے۔
• آپریشن LiberalFace کے اہداف روایتی MirrorFace ٹارگٹنگ کے مطابق ہیں۔
• دوسرے مرحلے کے LODEINFO میلویئر کے نمونے نے ایک C&C سرور سے رابطہ کیا جسے ہم MirrorFace انفراسٹرکچر کے حصے کے طور پر اندرونی طور پر ٹریک کرتے ہیں۔

آپریشن لبرل فیس میں بھیجی گئی سپیئر فشنگ ای میلز میں سے ایک ایک مخصوص جاپانی سیاسی پارٹی کے PR ڈیپارٹمنٹ کی جانب سے ایک باضابطہ مواصلت کے طور پر ظاہر کی گئی تھی، جس میں ہاؤس آف کونسلرز کے انتخابات سے متعلق ایک درخواست تھی، اور یہ مبینہ طور پر ایک ممتاز سیاستدان کی جانب سے بھیجی گئی تھی۔ تمام اسپیئر فشنگ ای میلز میں ایک بدنیتی پر مشتمل منسلکہ تھا جس پر عمل درآمد کے بعد سمجھوتہ کرنے والی مشین پر LODEINFO تعینات کر دیا گیا۔

مزید برآں، ہم نے دریافت کیا کہ MirrorFace نے اپنے ہدف کی اسناد چرانے کے لیے پہلے غیر دستاویزی میلویئر کا استعمال کیا ہے، جسے ہم نے MirrorStealer کا نام دیا ہے۔ ہمیں یقین ہے کہ یہ پہلی بار ہے کہ اس میلویئر کو عوامی طور پر بیان کیا گیا ہے۔

اس بلاگ پوسٹ میں، ہم سمجھوتے کے بعد کی مشاہدہ کی گئی سرگرمیوں کا احاطہ کرتے ہیں، بشمول کارروائیوں کو انجام دینے کے لیے LODEINFO کو بھیجے گئے C&C کمانڈز۔ متاثرہ مشین پر کی جانے والی بعض سرگرمیوں کی بنیاد پر، ہم سمجھتے ہیں کہ MirrorFace آپریٹر نے LODEINFO کو دستی یا نیم دستی طریقے سے کمانڈ جاری کیے ہیں۔

ابتدائی رسائی

MirrorFace نے 29 جون کو حملہ شروع کیا۔^th, 2022, distributing spearphishing emails with a malicious attachment to the targets. The subject of the email was SNS用動画 拡散のお願い (Google Translate سے ترجمہ: [Important] Request for spreading videos for SNS). شکل 1 اور شکل 2 اس کا مواد دکھاتے ہیں۔

شکل 2۔ ترجمہ شدہ ورژن

ایک جاپانی سیاسی جماعت کے PR ڈیپارٹمنٹ ہونے کا دعویٰ کرتے ہوئے، MirrorFace نے وصول کنندگان سے منسلک ویڈیوز کو اپنے سوشل میڈیا پروفائلز (SNS – سوشل نیٹ ورک سروس) پر تقسیم کرنے کو کہا تاکہ پارٹی کے PR کو مزید مضبوط کیا جا سکے اور ہاؤس آف کونسلرز میں کامیابی حاصل کی جا سکے۔ مزید برآں، ای میل ویڈیوز کی اشاعت کی حکمت عملی پر واضح ہدایات فراہم کرتا ہے۔

چونکہ 10 جولائی کو ہاؤس آف کونسلرز کا الیکشن ہوا تھا۔^th2022، یہ ای میل واضح طور پر اشارہ کرتا ہے کہ MirrorFace نے سیاسی اداروں پر حملہ کرنے کا موقع تلاش کیا تھا۔ اس کے علاوہ، ای میل میں مخصوص مواد سے ظاہر ہوتا ہے کہ کسی خاص سیاسی جماعت کے ارکان کو نشانہ بنایا گیا تھا۔

MirrorFace نے مہم میں ایک اور spearphishing ای میل کا بھی استعمال کیا، جہاں منسلکہ کا عنوان تھا۔ 【参考】 220628発・選挙管理委員会宛文書（添書分）گیا. exe (گوگل ٹرانسلیٹ سے ترجمہ: [Reference] 220628 Documents from the Ministry of to election administration committee (appendix).exe). منسلک ڈیکوی دستاویز (شکل 3 میں دکھایا گیا ہے) ہاؤس آف کونسلرز کے انتخابات کا بھی حوالہ دیتا ہے۔

شکل 3۔ ڈیکوی دستاویز ہدف کو دکھائی گئی۔

In both cases, the emails contained malicious attachments in the form of self-extracting WinRAR archives with deceptive names SNS用動画 拡散のお願いگیا. exe (گوگل ٹرانسلیٹ سے ترجمہ: SNS.exe کے لیے ویڈیوز پھیلانے کی درخواست) اور 【参考】220628発・選挙管理委員会宛文書（添書分）گیا. exe (گوگل ٹرانسلیٹ سے ترجمہ: [Reference] 220628 Documents from the Ministry of to election administration committee (appendix).exe) بالترتیب.

یہ EXEs اپنے محفوظ شدہ مواد کو میں نکالتے ہیں۔ ٪ ٹیمپ٪ فولڈر خاص طور پر، چار فائلیں نکالی جاتی ہیں:

• K7SysMon.exe, K7 Computing Pvt Ltd کی طرف سے تیار کردہ ایک بے نظیر ایپلی کیشن جو DLL سرچ آرڈر ہائی جیکنگ کے خطرے سے دوچار ہے
• K7SysMn1.dll، ایک بدنیتی پر مبنی لوڈر
• K7SysMon.Exe.db, خفیہ کردہ LODEINFO میلویئر
• ایک منحرف دستاویز

پھر، ڈیکوی دستاویز کو ہدف کو دھوکہ دینے اور بے نظیر ظاہر کرنے کے لیے کھولا جاتا ہے۔ آخری قدم کے طور پر، K7SysMon.exe اس پر عمل درآمد کیا جاتا ہے جو نقصان دہ لوڈر کو لوڈ کرتا ہے۔ K7SysMn1.dll اس کے ساتھ ساتھ گرا. آخر میں، لوڈر کا مواد پڑھتا ہے۔ K7SysMon.Exe.db، اسے ڈکرپٹ کرتا ہے، اور پھر اس پر عمل درآمد کرتا ہے۔ نوٹ کریں کہ اس نقطہ نظر کا مشاہدہ کاسپرسکی نے بھی کیا تھا اور ان میں بیان کیا گیا تھا۔ رپورٹ.

ٹول سیٹ

اس حصے میں، ہم آپریشن LiberalFace میں استعمال ہونے والے میلویئر MirrorFace کی وضاحت کرتے ہیں۔

لوڈ انفو

LODEINFO ایک MirrorFace بیک ڈور ہے جو مسلسل ترقی کے تحت ہے۔ جے پی سی ای آر ٹی پہلے ورژن کے بارے میں اطلاع دی گئی۔ LODEINFO (v0.1.2) کا، جو دسمبر 2019 کے آس پاس شائع ہوا؛ اس کی فعالیت اسکرین شاٹس کیپچر کرنے، کی لاگنگ کرنے، عمل کو ختم کرنے، فائلوں کو نکالنے، اور اضافی فائلوں اور کمانڈز کو انجام دینے کی اجازت دیتی ہے۔ تب سے، ہم نے اس کے ہر ورژن میں متعارف کرائی گئی متعدد تبدیلیوں کا مشاہدہ کیا ہے۔ مثال کے طور پر، ورژن 0.3.8 (جس کا ہمیں پہلی بار جون 2020 میں پتہ چلا) نے کمانڈ رینسم (جو فائلز اور فولڈرز کو انکرپٹ کرتا ہے) اور ورژن 0.5.6 (جس کا ہمیں جولائی 2021 میں پتہ چلا) نے کمانڈ کو شامل کیا۔ تشکیل، جو آپریٹرز کو رجسٹری میں محفوظ اس کی ترتیب میں ترمیم کرنے کی اجازت دیتا ہے۔ مذکورہ JPCERT رپورٹنگ کے علاوہ، LODEINFO بیک ڈور کا تفصیلی تجزیہ بھی اس سال کے شروع میں شائع کیا گیا تھا۔ Kaspersky.

آپریشن LiberalFace میں، ہم نے MirrorFace آپریٹرز کو باقاعدہ LODEINFO اور جسے ہم دوسرے مرحلے کا LODEINFO میلویئر کہتے ہیں، دونوں کا استعمال کرتے ہوئے دیکھا۔ دوسرے مرحلے کے LODEINFO کو مجموعی فعالیت کو دیکھ کر باقاعدہ LODEINFO سے ممتاز کیا جا سکتا ہے۔ خاص طور پر، دوسرے مرحلے کا LODEINFO نافذ کردہ کمانڈز سے باہر PE بائنریز اور شیل کوڈ کو قبول کرتا ہے اور چلاتا ہے۔ مزید برآں، دوسرے مرحلے کا LODEINFO C&C کمانڈ پر کارروائی کر سکتا ہے۔ تشکیل، لیکن کمانڈ کی فعالیت تاوان لاپتہ ہے.

آخر میں، C&C سرور سے موصول ہونے والا ڈیٹا باقاعدہ LODEINFO اور دوسرے مرحلے کے درمیان مختلف ہے۔ دوسرے مرحلے کے LODEINFO کے لیے، C&C سرور بے ترتیب ویب صفحہ کے مواد کو اصل ڈیٹا سے پہلے سے جوڑتا ہے۔ تصویر 4، شکل 5، اور شکل 6 دیکھیں جو موصولہ ڈیٹا کے فرق کو ظاہر کرتی ہے۔ نوٹ کریں کہ پہلے سے تیار کردہ کوڈ کا ٹکڑا دوسرے مرحلے کے C&C سے ہر موصول ہونے والے ڈیٹا اسٹریم کے لیے مختلف ہے۔

شکل 4. پہلے مرحلے کے LODEINFO C&C سے حاصل کردہ ڈیٹا

شکل 5. دوسرے مرحلے کے C&C سے موصول ہونے والا ڈیٹا

شکل 6. دوسرے مرحلے کے C&C سے موصول ہونے والا ایک اور ڈیٹا اسٹریم

آئینہ چور

MirrorStealer، اندرونی نام 31558_n.dll بذریعہ MirrorFace، ایک سند چوری کرنے والا ہے۔ ہماری بہترین معلومات کے مطابق، اس میلویئر کو عوامی طور پر بیان نہیں کیا گیا ہے۔ عام طور پر، MirrorStealer مختلف ایپلی کیشنز جیسے براؤزرز اور ای میل کلائنٹس سے اسناد چراتا ہے۔ دلچسپ بات یہ ہے کہ ٹارگٹڈ ایپلی کیشنز میں سے ایک ہے۔ بیکی!، ایک ای میل کلائنٹ جو فی الحال صرف جاپان میں دستیاب ہے۔ تمام چوری شدہ اسناد اس میں محفوظ ہیں۔ %TEMP%31558.txt اور چونکہ MirrorStealer کے پاس چوری شدہ ڈیٹا کو نکالنے کی صلاحیت نہیں ہے، اس لیے یہ دوسرے میلویئر پر منحصر ہے۔

سمجھوتہ کے بعد کی سرگرمیاں

ہماری تحقیق کے دوران، ہم ان کچھ کمانڈز کا مشاہدہ کرنے کے قابل ہوئے جو کمپوزرڈ کمپیوٹرز کو جاری کیے گئے تھے۔

ابتدائی ماحول کا مشاہدہ

ایک بار جب LODEINFO کو کمپرومائزڈ مشینوں پر لانچ کیا گیا اور وہ کامیابی کے ساتھ C&C سرور سے جڑ گئے، ایک آپریٹر نے کمانڈز جاری کرنا شروع کر دیں (شکل 7 دیکھیں)۔

تصویر 7. LODEINFO کے ذریعے MirrorFace آپریٹر کے ذریعہ ابتدائی ماحول کا مشاہدہ

سب سے پہلے، آپریٹر نے LODEINFO کمانڈز میں سے ایک جاری کیا، پرنٹ، سمجھوتہ شدہ مشین کی اسکرین پر قبضہ کرنے کے لئے۔ اس کے بعد ایک اور حکم دیا گیا، lsموجودہ فولڈر کا مواد دیکھنے کے لیے جس میں LODEINFO رہتا تھا (یعنی، ٪ ٹیمپ٪)۔ اس کے فوراً بعد، آپریٹر نے چل کر نیٹ ورک کی معلومات حاصل کرنے کے لیے LODEINFO کا استعمال کیا۔ خالص نقطہ نظر اور نیٹ ویو /ڈومین. پہلی کمانڈ نیٹ ورک سے منسلک کمپیوٹرز کی فہرست واپس کرتی ہے، جبکہ دوسری دستیاب ڈومینز کی فہرست لوٹاتی ہے۔

اسناد اور براؤزر کوکی چوری کرنا

اس بنیادی معلومات کو جمع کرنے کے بعد، آپریٹر اگلے مرحلے میں چلا گیا (تصویر 8 دیکھیں)۔

تصویر 8. LODEINFO کو بھیجی گئی ہدایات کا بہاؤ اسناد چوری کرنے والے کو تعینات کرنے، اسناد اور براؤزر کوکیز کو اکٹھا کرنے، اور انہیں C&C سرور پر منتقل کرنے کے لیے

آپریٹر نے سب کمانڈ کے ساتھ LODEINFO کمانڈ بھیجا۔ -یاداشت پہنچانے کے لئے آئینہ چور سمجھوتہ شدہ مشین کو میلویئر۔ ذیلی کمانڈ -یاداشت MirrorStealer کو اس کی یادداشت میں رکھنے کے لیے LODEINFO کو اشارہ کرنے کے لیے استعمال کیا گیا تھا، یعنی MirrorStealer بائنری کو کبھی بھی ڈسک پر نہیں چھوڑا گیا تھا۔ اس کے بعد، حکم میموری جاری کیا گیا تھا. اس کمانڈ نے LODEINFO کو ہدایت کی کہ وہ MirrorStealer لے جائے، اسے اسپاون میں انجیکشن لگائیں۔ cmd.exe عمل کریں، اور اسے چلائیں.

ایک بار MirrorStealer نے اسناد جمع کر کے ان میں محفوظ کر لی تھیں۔ %temp%31558.txt، آپریٹر نے اسناد کو ختم کرنے کے لیے LODEINFO کا استعمال کیا۔

آپریٹر متاثرہ کے براؤزر کوکیز میں بھی دلچسپی رکھتا تھا۔ تاہم، MirrorStealer کے پاس ان کو جمع کرنے کی صلاحیت نہیں ہے۔ لہذا، آپریٹر نے LODEINFO کے ذریعے کوکیز کو دستی طور پر نکالا۔ سب سے پہلے، آپریٹر نے LODEINFO کمانڈ استعمال کیا۔ dir فولڈرز کے مواد کی فہرست بنانے کے لیے %LocalAppData%GoogleChromeUser ڈیٹا اور %LocalAppData%MicrosoftEdgeUser ڈیٹا. پھر، آپریٹر نے تمام شناخت شدہ کوکی فائلوں کو میں کاپی کیا۔ ٪ ٹیمپ٪ فولڈر اس کے بعد، آپریٹر نے LODEINFO کمانڈ کا استعمال کرتے ہوئے تمام جمع شدہ کوکی فائلوں کو نکال دیا۔ recv. آخر کار، آپریٹر نے کاپی شدہ کوکی فائلوں کو سے حذف کر دیا۔ ٪ ٹیمپ٪ نشانات کو ہٹانے کی کوشش میں فولڈر۔

دستاویز اور ای میل چوری کرنا

اگلے مرحلے میں، آپریٹر نے مختلف قسم کے دستاویزات کے ساتھ ساتھ ذخیرہ شدہ ای میلز کو نکالا (شکل 9 دیکھیں)۔

تصویر 9. دلچسپی کی فائلوں کو نکالنے کے لیے LODEINFO کو بھیجی گئی ہدایات کا بہاؤ

اس کے لیے، آپریٹر نے سب سے پہلے LODEINFO کا استعمال کیا تاکہ WinRAR آرکائیور (rar.exe). استعمال کرنا rar.exe، آپریٹر نے دلچسپی کی فائلیں اکٹھی کیں اور آرکائیو کیں جن میں 2022-01-01 کے بعد فولڈرز سے ترمیم کی گئی تھی۔ %USERPROFILE% اور C:$Recycle.Bin. آپریٹر کو ایکسٹینشن کے ساتھ ایسی تمام فائلوں میں دلچسپی تھی۔ڈاکٹر*, .ppt*, .xls*, .jtd, .eml, .*xps، اور پی ڈی ایف.

نوٹ کریں کہ عام دستاویز کی اقسام کے علاوہ، MirrorFace کو فائلوں میں بھی دلچسپی تھی۔ .jtd توسیع یہ جاپانی ورڈ پروسیسر کی دستاویزات کی نمائندگی کرتا ہے۔ اچیتارو JustSystems کے ذریعہ تیار کردہ۔

آرکائیو بننے کے بعد، آپریٹر نے سیکیور کاپی پروٹوکول (SCP) کلائنٹ کو پٹی جاری رکھا (pscp.exe) اور پھر اسے سرور پر حال ہی میں بنائے گئے RAR آرکائیو کو نکالنے کے لیے استعمال کیا۔ 45.32.13[.]180. اس آئی پی ایڈریس کا سابقہ ​​MirrorFace سرگرمی میں مشاہدہ نہیں کیا گیا تھا اور کسی بھی LODEINFO میلویئر میں C&C سرور کے طور پر استعمال نہیں کیا گیا تھا جس کا ہم نے مشاہدہ کیا ہے۔ آرکائیو کو نکالنے کے فوراً بعد، آپریٹر نے حذف کر دیا۔ rar.exe, pscp.exe، اور RAR آرکائیو سرگرمی کے نشانات کو صاف کرنے کے لیے۔

دوسرے مرحلے کے LODEINFO کی تعیناتی۔

آخری مرحلہ جس کا ہم نے مشاہدہ کیا وہ دوسرے مرحلے کا LODEINFO فراہم کر رہا تھا (شکل 10 دیکھیں)۔

تصویر 10. دوسرے مرحلے کے LODEINFO کو تعینات کرنے کے لیے LODEINFO کو بھیجی گئی ہدایات کا بہاؤ

آپریٹر نے درج ذیل بائنریز فراہم کیں: JSESPR.dll, JsSchHlp.exe، اور vcruntime140.dll سمجھوتہ کرنے والی مشین کو۔ اصل JsSchHlp.exe JUSTSYSTEMS CORPORATION (پہلے ذکر کردہ جاپانی ورڈ پروسیسر، Ichitaro کے بنانے والے) کی طرف سے دستخط کردہ ایک بے نظیر درخواست ہے۔ تاہم، اس معاملے میں MirrorFace آپریٹر نے ایک معروف مائیکروسافٹ ڈیجیٹل دستخطی تصدیق کا غلط استعمال کیا۔ مسئلہ اور RC4 انکرپٹڈ ڈیٹا کو اس میں شامل کیا۔ JsSchHlp.exe ڈیجیٹل دستخط. مذکورہ مسئلے کی وجہ سے، ونڈوز اب بھی ترمیم شدہ پر غور کرتا ہے۔ JsSchHlp.exe درست طریقے سے دستخط کیے جائیں۔

JsSchHlp.exe DLL سائیڈ لوڈنگ کے لیے بھی حساس ہے۔ لہذا، پھانسی پر، لگائے گئے JSESPR.dll بھری ہوئی ہے (شکل 11 دیکھیں)۔

تصویر 11۔ دوسرے مرحلے کے LODEINFO کا عمل درآمد

JSESPR.dll ایک خراب لوڈر ہے جو منسلک پے لوڈ کو پڑھتا ہے۔ JsSchHlp.exe، اسے ڈکرپٹ کرتا ہے، اور چلاتا ہے۔ پے لوڈ دوسرے مرحلے کا LODEINFO ہے، اور ایک بار چلنے کے بعد، آپریٹر نے دوسرے مرحلے کے لیے استقامت قائم کرنے کے لیے باقاعدہ LODEINFO کا استعمال کیا۔ خاص طور پر، آپریٹر بھاگ گیا reg.exe نام کی قدر شامل کرنے کی افادیت JsSchHlp کرنے کے لئے رن رجسٹری کلید راستے کو پکڑ رہی ہے۔ JsSchHlp.exe.

تاہم، ہمیں ایسا لگتا ہے کہ آپریٹر نے دوسرے مرحلے کے LODEINFO کو C&C سرور کے ساتھ مناسب طریقے سے بات چیت کرنے کا انتظام نہیں کیا۔ لہذا، دوسرے مرحلے کے LODEINFO کو استعمال کرنے والے آپریٹر کے مزید اقدامات ہمارے لیے نامعلوم ہیں۔

دلچسپ مشاہدات

تفتیش کے دوران، ہم نے چند دلچسپ مشاہدات کیے ہیں۔ ان میں سے ایک یہ ہے کہ آپریٹر نے LODEINFO کو کمانڈ جاری کرتے وقت کچھ غلطیاں اور ٹائپ کی غلطیاں کیں۔ مثال کے طور پر، آپریٹر نے سٹرنگ بھیجی۔ cmd/c dir "c:use" LODEINFO کو، جس کا سب سے زیادہ امکان ہونا چاہیے تھا۔ cmd/c dir "c:users".

اس سے پتہ چلتا ہے کہ آپریٹر LODEINFO کو دستی یا نیم دستی طریقے سے کمانڈ جاری کر رہا ہے۔

ہمارا اگلا مشاہدہ یہ ہے کہ اگرچہ آپریٹر نے سمجھوتے کے نشانات کو ہٹانے کے لیے کچھ صفائیاں کیں، آپریٹر حذف کرنا بھول گیا۔ %temp%31558.txt - چوری شدہ اسناد پر مشتمل لاگ۔ اس طرح، کم از کم یہ نشان سمجھوتہ کرنے والی مشین پر باقی رہا اور یہ ہمیں ظاہر کرتا ہے کہ آپریٹر صفائی کے عمل میں مکمل طور پر نہیں تھا۔

نتیجہ

MirrorFace جاپان میں اعلیٰ قدر کے اہداف کا مقصد جاری رکھے ہوئے ہے۔ آپریشن LiberalFace میں، اس نے خاص طور پر سیاسی اداروں کو اس وقت کے آنے والے کونسلرز کے انتخابات کو اپنے فائدے کے لیے استعمال کرتے ہوئے نشانہ بنایا۔ مزید دلچسپ بات یہ ہے کہ ہمارے نتائج سے پتہ چلتا ہے کہ MirrorFace خاص طور پر ایک مخصوص سیاسی جماعت کے ارکان پر مرکوز ہے۔

آپریشن LiberalFace کی تحقیقات کے دوران، ہم نے مزید MirrorFace TTPs، جیسے کہ متاثرین سے قیمتی ڈیٹا اکٹھا کرنے اور نکالنے کے لیے اضافی میلویئر اور ٹولز کی تعیناتی اور استعمال کا انکشاف کیا۔ مزید برآں، ہماری تحقیقات سے یہ بات سامنے آئی ہے کہ MirrorFace آپریٹرز کسی حد تک لاپرواہ ہیں، نشانات چھوڑ رہے ہیں اور مختلف غلطیاں کر رہے ہیں۔

آئی او سیز

فائلوں

نیٹ ورک

MITER ATT&CK تکنیک

یہ میز استعمال کرتے ہوئے بنایا گیا تھا۔ ورژن 12 MITER ATT&CK فریم ورک کا.

نوٹ کریں کہ اگرچہ یہ بلاگ پوسٹ LODEINFO کی صلاحیتوں کا مکمل جائزہ فراہم نہیں کرتا ہے کیونکہ یہ معلومات پہلے سے ہی دوسری اشاعتوں میں دستیاب ہے، نیچے دی گئی MITER ATT&CK جدول میں اس سے وابستہ تمام تکنیکیں موجود ہیں۔