Vạch mặt MirrorFace: Chiến dịch LiberalFace nhắm vào các thực thể chính trị Nhật Bản

Các nhà nghiên cứu của ESET đã phát hiện ra một chiến dịch lừa đảo trực tuyến, được triển khai trong những tuần trước khi Bầu cử Hạ viện Nhật Bản vào tháng 2022 năm XNUMX, bởi nhóm APT mà ESET Research theo dõi với tên gọi MirrorFace. Chiến dịch mà chúng tôi đặt tên là Operation LiberalFace nhắm vào các thực thể chính trị Nhật Bản; cuộc điều tra của chúng tôi tiết lộ rằng các thành viên của một đảng chính trị cụ thể là trọng tâm đặc biệt trong chiến dịch này. ESET Research đã tiết lộ chi tiết về chiến dịch này và nhóm APT đằng sau nó tại Hội nghị AVAR 2022 vào đầu tháng này.

MirrorFace là một kẻ đe dọa nói tiếng Trung Quốc nhắm mục tiêu vào các công ty và tổ chức có trụ sở tại Nhật Bản. Mặc dù có một số suy đoán rằng tác nhân đe dọa này có thể liên quan đến APT10 (Macnica, Kaspersky), ESET không thể gán nó cho bất kỳ nhóm APT nào đã biết. Do đó, chúng tôi đang theo dõi nó như một thực thể riêng biệt mà chúng tôi đặt tên là MirrorFace. Đặc biệt, MirrorFace và LODEINFO, phần mềm độc quyền độc quyền của nó được sử dụng riêng để chống lại các mục tiêu ở Nhật Bản, đã bị báo cáo như nhắm mục tiêu vào các phương tiện truyền thông, các công ty liên quan đến quốc phòng, các tổ chức tư vấn, các tổ chức ngoại giao và các tổ chức học thuật. Mục tiêu của MirrorFace là gián điệp và đánh cắp các tệp quan tâm.

Chúng tôi gán Chiến dịch LiberalFace cho MirrorFace dựa trên các chỉ số sau:

• Theo hiểu biết tốt nhất của chúng tôi, phần mềm độc hại LODEINFO được sử dụng độc quyền bởi MirrorFace.
• Các mục tiêu của Chiến dịch LiberalFace phù hợp với nhắm mục tiêu MirrorFace truyền thống.
• Mẫu phần mềm độc hại LODEINFO giai đoạn hai đã liên hệ với máy chủ C&C mà chúng tôi theo dõi nội bộ như một phần của cơ sở hạ tầng MirrorFace.

Một trong những email lừa đảo trực tuyến được gửi trong Chiến dịch LiberalFace được cho là thông tin liên lạc chính thức từ bộ phận PR của một đảng chính trị cụ thể của Nhật Bản, chứa yêu cầu liên quan đến cuộc bầu cử Hạ viện và được gửi một cách có chủ đích thay mặt cho một chính trị gia nổi tiếng. Tất cả các email lừa đảo đều chứa một tệp đính kèm độc hại mà khi thực thi đã triển khai LODEINFO trên máy bị xâm nhập.

Ngoài ra, chúng tôi phát hiện ra rằng MirrorFace đã sử dụng phần mềm độc hại không có giấy tờ trước đây, mà chúng tôi đặt tên là MirrorStealer, để đánh cắp thông tin đăng nhập của mục tiêu. Chúng tôi tin rằng đây là lần đầu tiên phần mềm độc hại này được mô tả công khai.

Trong bài đăng trên blog này, chúng tôi đề cập đến các hoạt động hậu thỏa hiệp được quan sát, bao gồm các lệnh C&C được gửi tới LODEINFO để thực hiện các hành động. Dựa trên một số hoạt động nhất định được thực hiện trên máy bị ảnh hưởng, chúng tôi cho rằng người điều hành MirrorFace đã ra lệnh cho LODEINFO theo cách thủ công hoặc bán thủ công.

Quyền truy cập ban đầu

MirrorFace bắt đầu cuộc tấn công vào ngày 29 tháng XNUMX^th, 2022, phát tán các email lừa đảo có đính kèm độc hại tới các mục tiêu. Chủ đề của email là SNS用動画 拡散のお願い (bản dịch từ Google Translate: [Quan trọng] Yêu cầu phát tán video cho SNS). Hình 1 và Hình 2 thể hiện nội dung của nó.

Hình 2. Phiên bản đã dịch

Với mục đích trở thành bộ phận PR của một đảng chính trị Nhật Bản, MirrorFace đã yêu cầu người nhận phân phối các video đính kèm trên hồ sơ mạng xã hội của riêng họ (SNS - Dịch vụ mạng xã hội) để tăng cường hơn nữa PR của đảng và đảm bảo chiến thắng trong Hạ viện. Hơn nữa, email cung cấp hướng dẫn rõ ràng về chiến lược xuất bản video.

Kể từ khi cuộc bầu cử Hạ viện được tổ chức vào ngày 10 tháng XNUMX^th, 2022, email này chỉ rõ rằng MirrorFace đã tìm cơ hội để tấn công các tổ chức chính trị. Ngoài ra, nội dung cụ thể trong email chỉ ra rằng các thành viên của một đảng chính trị cụ thể đã được nhắm mục tiêu.

MirrorFace cũng sử dụng một email lừa đảo khác trong chiến dịch, trong đó tệp đính kèm có tiêu đề [参考]220628発・選挙管理委員会宛文書（添書分）Exe. (bản dịch từ Google Translate: [Tham khảo] 220628 Văn bản của Bộ gửi Ban quản lý bầu cử (phụ lục).exe). Tài liệu mồi nhử đính kèm (hiển thị trong Hình 3) cũng đề cập đến cuộc bầu cử Hạ viện.

Hình 3. Tài liệu mồi nhử được hiển thị cho mục tiêu

Trong cả hai trường hợp, email đều chứa các tệp đính kèm độc hại dưới dạng kho lưu trữ WinRAR tự giải nén với tên lừa đảo SNS用動画 拡散のお願いExe. (bản dịch từ Google Translate: Yêu cầu phát tán video cho SNS.exe) và 【参考】220628発・選挙管理委員会宛文書（添書分）Exe. (bản dịch từ Google Translate: [Tham khảo] 220628 Văn bản của Bộ gửi Ban quản lý bầu cử (phụ lục).exe) tương ứng.

Các EXE này trích xuất nội dung lưu trữ của chúng vào % TEMP% thư mục. Cụ thể, bốn tệp được giải nén:

• K7SysMon.exe, một ứng dụng lành tính được phát triển bởi K7 Computing Pvt Ltd, dễ bị tấn công theo thứ tự tìm kiếm DLL
• K7SysMn1.dll, một trình tải độc hại
• K7SysMon.Exe.db, phần mềm độc hại LODEINFO được mã hóa
• Tài liệu mồi nhử

Sau đó, tài liệu mồi nhử được mở ra để đánh lừa mục tiêu và có vẻ lành tính. Như bước cuối cùng, K7SysMon.exe được thực thi để tải trình tải độc hại K7SysMn1.dll rơi bên cạnh nó. Cuối cùng, trình tải đọc nội dung của K7SysMon.Exe.db, giải mã nó và sau đó thực thi nó. Lưu ý rằng cách tiếp cận này cũng đã được Kaspersky quan sát và mô tả trong báo cáo.

Bộ công cụ

Trong phần này, chúng tôi mô tả phần mềm độc hại MirrorFace được sử dụng trong Chiến dịch LiberalFace.

thông tin LODEINFO

LODEINFO là một backdoor MirrorFace đang được phát triển liên tục. JPCERT báo cáo về phiên bản đầu tiên của LODEINFO (v0.1.2), xuất hiện vào khoảng tháng 2019 năm 0.3.8; chức năng của nó cho phép chụp ảnh màn hình, ghi nhật ký bàn phím, hủy quá trình, lọc tệp cũng như thực thi các tệp và lệnh bổ sung. Kể từ đó, chúng tôi đã quan sát thấy một số thay đổi được giới thiệu cho từng phiên bản của nó. Ví dụ: phiên bản 2020 (lần đầu tiên chúng tôi phát hiện vào tháng 0.5.6 năm 2021) đã thêm lệnh đòi tiền chuộc (mã hóa các tệp và thư mục đã xác định) và phiên bản XNUMX (mà chúng tôi phát hiện vào tháng XNUMX năm XNUMX) đã thêm lệnh này cấu hình, cho phép người vận hành sửa đổi cấu hình của nó được lưu trữ trong sổ đăng ký. Bên cạnh báo cáo JPCERT đã đề cập ở trên, một phân tích chi tiết về cửa hậu LODEINFO cũng đã được xuất bản vào đầu năm nay bởi Kaspersky.

Trong Chiến dịch LiberalFace, chúng tôi đã quan sát thấy những người điều hành MirrorFace sử dụng cả LODEINFO thông thường và cái mà chúng tôi gọi là phần mềm độc hại LODEINFO giai đoạn hai. LODEINFO giai đoạn hai có thể được phân biệt với LODEINFO thông thường bằng cách xem xét chức năng tổng thể. Đặc biệt, LODEINFO giai đoạn thứ hai chấp nhận và chạy các mã nhị phân PE và shellcode bên ngoài các lệnh đã triển khai. Hơn nữa, LODEINFO giai đoạn hai có thể xử lý lệnh C&C cấu hình, nhưng chức năng cho lệnh chuộc lại mất tích

Cuối cùng, dữ liệu nhận được từ máy chủ C&C khác nhau giữa LODEINFO thông thường và LODEINFO giai đoạn hai. Đối với LODEINFO giai đoạn hai, máy chủ C&C thêm nội dung trang web ngẫu nhiên vào dữ liệu thực tế. Xem Hình 4, Hình 5 và Hình 6 mô tả sự khác biệt về dữ liệu nhận được. Lưu ý rằng đoạn mã được thêm vào trước khác nhau đối với mỗi luồng dữ liệu nhận được từ C&C giai đoạn hai.

Hình 4. Dữ liệu nhận được từ LODEINFO C&C giai đoạn đầu

Hình 5. Dữ liệu nhận được từ C&C giai đoạn hai

Hình 6. Một luồng dữ liệu khác nhận được từ C&C giai đoạn hai

GươngStealer

MirrorStealer, tên nội bộ 31558_n.dll bởi MirrorFace, là một kẻ đánh cắp thông tin xác thực. Theo hiểu biết tốt nhất của chúng tôi, phần mềm độc hại này chưa được mô tả công khai. Nói chung, MirrorStealer đánh cắp thông tin đăng nhập từ các ứng dụng khác nhau như trình duyệt và ứng dụng email. Thật thú vị, một trong những ứng dụng được nhắm mục tiêu là Becky!, một ứng dụng email hiện chỉ khả dụng ở Nhật Bản. Tất cả các thông tin bị đánh cắp được lưu trữ trong %TEMP%31558.txt và vì MirrorStealer không có khả năng lọc dữ liệu bị đánh cắp nên nó phụ thuộc vào phần mềm độc hại khác để làm điều đó.

Các hoạt động sau thỏa hiệp

Trong quá trình nghiên cứu, chúng tôi có thể quan sát một số lệnh được đưa ra cho các máy tính bị xâm nhập.

Quan sát môi trường ban đầu

Sau khi LODEINFO được khởi chạy trên các máy bị xâm nhập và chúng đã kết nối thành công với máy chủ C&C, một nhà điều hành bắt đầu đưa ra các lệnh (xem Hình 7).

Hình 7. Quan sát môi trường ban đầu bởi người vận hành MirrorFace qua LODEINFO

Đầu tiên, người điều hành đưa ra một trong các lệnh LODEINFO, in, để chụp màn hình của máy bị xâm nhập. Điều này được theo sau bởi một lệnh khác, ls, để xem nội dung của thư mục hiện tại chứa LODEINFO (tức là, % TEMP%). Ngay sau đó, nhà điều hành đã sử dụng LODEINFO để lấy thông tin mạng bằng cách chạy net view và chế độ xem mạng/miền. Lệnh đầu tiên trả về danh sách các máy tính được kết nối với mạng, trong khi lệnh thứ hai trả về danh sách các miền khả dụng.

Đánh cắp thông tin xác thực và cookie của trình duyệt

Sau khi thu thập thông tin cơ bản này, người vận hành chuyển sang giai đoạn tiếp theo (xem Hình 8).

Hình 8. Luồng hướng dẫn được gửi tới LODEINFO để triển khai kẻ đánh cắp thông tin xác thực, thu thập thông tin xác thực và cookie của trình duyệt, rồi lọc chúng tới máy chủ C&C

Người vận hành phát lệnh gửi LODEINFO cùng với lệnh con -ký ức giao hàng GươngStealer phần mềm độc hại cho máy bị xâm nhập. tiểu ban -ký ức được sử dụng để chỉ thị cho LODEINFO giữ MirrorStealer trong bộ nhớ của nó, nghĩa là tệp nhị phân MirrorStealer không bao giờ bị xóa trên đĩa. Sau đó, lệnh trí nhớ đã được ban hành. Lệnh này đã hướng dẫn LODEINFO lấy MirrorStealer, đưa nó vào cmd.exe xử lý, và chạy nó.

Khi MirrorStealer đã thu thập thông tin đăng nhập và lưu trữ chúng trong %temp%31558.txt, nhà điều hành đã sử dụng LODEINFO để trích xuất thông tin đăng nhập.

Người điều hành cũng quan tâm đến cookie trình duyệt của nạn nhân. Tuy nhiên, MirrorStealer không có khả năng thu thập những thứ đó. Do đó, nhà điều hành đã lọc cookie theo cách thủ công qua LODEINFO. Đầu tiên, người vận hành sử dụng lệnh LODEINFO dir để liệt kê nội dung của các thư mục %LocalAppData%GoogleChromeDữ liệu người dùng và %LocalAppData%MicrosoftEdgeDữ liệu người dùng. Sau đó, người vận hành đã sao chép tất cả các tệp cookie đã xác định vào % TEMP% thư mục. Tiếp theo, người vận hành lọc tất cả các tệp cookie đã thu thập bằng lệnh LODEINFO recv. Cuối cùng, người vận hành đã xóa các tệp cookie đã sao chép khỏi % TEMP% thư mục trong nỗ lực xóa dấu vết.

Đánh cắp tài liệu và email

Trong bước tiếp theo, người điều hành lọc các loại tài liệu cũng như email được lưu trữ (xem Hình 9).

Hình 9. Luồng hướng dẫn được gửi tới LODEINFO để trích xuất các tệp quan tâm

Vì vậy, trước tiên, nhà điều hành đã sử dụng LODEINFO để cung cấp trình lưu trữ WinRAR (rar.exe). Sử dụng rar.exe, nhà điều hành đã thu thập và lưu trữ các tệp quan tâm đã được sửa đổi sau ngày 2022-01-01 từ các thư mục %USERPROFILE% và C:$Recycle.Bin. Nhà điều hành quan tâm đến tất cả các tệp như vậy với phần mở rộng .tài liệu*, .ppt*, .xls*, .jtd, .eml, .*xpsvà . Pdf.

Lưu ý rằng bên cạnh các loại tài liệu phổ biến, MirrorFace cũng quan tâm đến các tệp có định dạng .jtd sự mở rộng. Điều này đại diện cho các tài liệu của trình xử lý văn bản tiếng Nhật Ichitaro được phát triển bởi JustSystems.

Khi kho lưu trữ được tạo, người vận hành đã phân phối ứng dụng khách Giao thức sao chép an toàn (SCP) từ PuTTY sau (pscp.exe) và sau đó sử dụng nó để trích xuất kho lưu trữ RAR vừa tạo vào máy chủ tại 45.32.13 [.] 180. Địa chỉ IP này đã không được quan sát thấy trong hoạt động MirrorFace trước đó và chưa được sử dụng làm máy chủ C&C trong bất kỳ phần mềm độc hại LODEINFO nào mà chúng tôi đã quan sát được. Ngay sau khi kho lưu trữ được trích xuất, nhà điều hành đã xóa rar.exe, pscp.exevà kho lưu trữ RAR để dọn sạch dấu vết của hoạt động.

Triển khai LODEINFO giai đoạn hai

Bước cuối cùng mà chúng tôi quan sát được là cung cấp LODEINFO giai đoạn hai (xem Hình 10).

Hình 10. Luồng hướng dẫn được gửi tới LODEINFO để triển khai LODEINFO giai đoạn hai

Toán tử đã phân phối các tệp nhị phân sau: JSESPR.dll, JsSchHlp.exevà vcruntime140.dll đến máy bị xâm phạm. Bản gốc JsSchHlp.exe là một ứng dụng lành tính được ký bởi JUSTSYSTEMS CORPORATION (nhà sản xuất trình xử lý văn bản tiếng Nhật đã đề cập trước đó, Ichitaro). Tuy nhiên, trong trường hợp này, nhà điều hành MirrorFace đã lạm dụng xác minh chữ ký số Microsoft đã biết vấn đề và nối thêm dữ liệu được mã hóa RC4 vào JsSchHlp.exe chữ ký số. Do sự cố được đề cập, Windows vẫn xem xét sửa đổi JsSchHlp.exe được ký hợp lệ.

JsSchHlp.exe cũng dễ bị tải bên DLL. Do đó, khi thực hiện, người trồng JSESPR.dll được tải (xem Hình 11).

Hình 11. Luồng thực thi của LODEINFO giai đoạn hai

JSESPR.dll là một trình tải độc hại đọc tải trọng được thêm vào từ JsSchHlp.exe, giải mã nó và chạy nó. Tải trọng là LODEINFO giai đoạn hai và sau khi chạy, người vận hành đã sử dụng LODEINFO thông thường để đặt độ bền cho giai đoạn thứ hai. Đặc biệt, nhà điều hành đã chạy reg.exe tiện ích để thêm một giá trị có tên JsSchHlp đến chạy khóa đăng ký giữ đường dẫn đến JsSchHlp.exe.

Tuy nhiên, đối với chúng tôi, có vẻ như nhà điều hành đã không quản lý để làm cho LODEINFO giai đoạn thứ hai giao tiếp đúng cách với máy chủ C&C. Do đó, bất kỳ bước tiếp theo nào của toán tử sử dụng LODEINFO giai đoạn hai vẫn chưa được biết đối với chúng tôi.

Quan sát thú vị

Trong quá trình điều tra, chúng tôi đã thực hiện một vài quan sát thú vị. Một trong số đó là người vận hành đã mắc một số lỗi và lỗi chính tả khi ra lệnh cho LODEINFO. Ví dụ, nhà điều hành đã gửi chuỗi cmd /c thư mục “c:use” đến LODEINFO, mà rất có thể được cho là cmd /c thư mục “c:users”.

Điều này cho thấy người vận hành đang ra lệnh cho LODEINFO theo cách thủ công hoặc bán thủ công.

Quan sát tiếp theo của chúng tôi là mặc dù người điều hành đã thực hiện một vài thao tác dọn dẹp để xóa dấu vết của sự xâm phạm, nhưng người điều hành đã quên xóa %temp%31558.txt – nhật ký chứa thông tin đăng nhập bị đánh cắp. Do đó, ít nhất dấu vết này vẫn còn trên máy bị xâm nhập và nó cho chúng ta thấy rằng người điều hành đã không kỹ lưỡng trong quá trình dọn dẹp.

Kết luận

MirrorFace tiếp tục nhắm đến các mục tiêu có giá trị cao ở Nhật Bản. Trong Chiến dịch LiberalFace, nó nhắm mục tiêu cụ thể vào các thực thể chính trị sử dụng cuộc bầu cử Hạ viện sắp tới để làm lợi thế cho mình. Thú vị hơn, những phát hiện của chúng tôi cho thấy MirrorFace đặc biệt tập trung vào các thành viên của một đảng chính trị cụ thể.

Trong quá trình điều tra Chiến dịch LiberalFace, chúng tôi đã cố gắng phát hiện thêm các TTP MirrorFace, chẳng hạn như việc triển khai và sử dụng phần mềm độc hại bổ sung cũng như các công cụ để thu thập và trích xuất dữ liệu có giá trị từ các nạn nhân. Hơn nữa, cuộc điều tra của chúng tôi cho thấy rằng những người điều hành MirrorFace hơi bất cẩn, để lại dấu vết và phạm nhiều sai lầm.

IoC

Các tập tin

mạng

Kỹ thuật MITER ATT & CK

Bảng này được tạo bằng cách sử dụng phiên bản 12 của khuôn khổ MITER ATT & CK.

Lưu ý rằng mặc dù bài đăng trên blog này không cung cấp tổng quan đầy đủ về các khả năng của LODEINFO vì thông tin này đã có sẵn trong các ấn phẩm khác, nhưng bảng MITRE ATT&CK bên dưới chứa tất cả các kỹ thuật liên quan đến nó.