ESET 研究人员在众议院选举前几周发现了一场针对日本政治实体的鱼叉式网络钓鱼活动,并在此过程中发现了一个之前未被描述的 MirrorFace 凭证窃取程序
ESET 研究人员发现了一个鱼叉式网络钓鱼活动,该活动是在攻击前几周发起的 日本参议院选举 2022 年 XNUMX 月,由 ESET Research 追踪为 MirrorFace 的 APT 组织发起。 我们命名为 Operation LiberalFace 的运动针对的是日本政治实体; 我们的调查显示,某个特定政党的成员在这次竞选中特别受到关注。 ESET Research 揭露了有关此活动及其背后的 APT 组织的详细信息 AVAR 2022会议 在本月初。
- 2022 年 XNUMX 月底,MirrorFace 发起了一场针对日本政治实体的运动,我们将其命名为 Operation LiberalFace。
- 包含该组织旗舰后门 LODEINFO 的鱼叉式网络钓鱼电子邮件被发送到目标。
- LODEINFO 被用来提供额外的恶意软件,泄露受害者的凭证,并窃取受害者的文件和电子邮件。
- 在 LiberalFace 行动中使用了一个之前未描述的凭证窃取程序,我们将其命名为 MirrorStealer。
- ESET Research 对妥协后的活动进行了分析,这表明观察到的操作是以手动或半手动方式执行的。
- 有关此活动的详细信息已在 AVAR 2022会议.
MirrorFace 是一个讲中文的威胁行为者,目标是位于日本的公司和组织。 虽然有人猜测这个威胁行为者可能与 APT10 有关(Macnica公司, 卡巴斯基), ESET 无法将其归因于任何已知的 APT 组。 因此,我们将其作为一个单独的实体进行跟踪,我们将其命名为 MirrorFace。 特别是 MirrorFace 和 LODEINFO,它的专有恶意软件专门针对日本的目标,已被 报道 以媒体、国防相关公司、智库、外交组织和学术机构为目标。 MirrorFace 的目标是间谍和泄露感兴趣的文件。
我们根据以下指标将 Operation LiberalFace 归为 MirrorFace:
- 据我们所知,LODEINFO 恶意软件专门由 MirrorFace 使用。
- Operation LiberalFace 的目标与传统的 MirrorFace 目标一致。
- 第二阶段的 LODEINFO 恶意软件样本联系了我们作为 MirrorFace 基础设施的一部分在内部跟踪的 C&C 服务器。
在 Operation LiberalFace 中发送的其中一封鱼叉式网络钓鱼电子邮件伪装成来自特定日本政党公关部门的官方通讯,其中包含与参议院选举有关的请求,据称是代表一位知名政治家发送的。 所有鱼叉式网络钓鱼电子邮件都包含一个恶意附件,该附件在执行时会在受感染的机器上部署 LODEINFO。
此外,我们发现 MirrorFace 使用以前未记录的恶意软件(我们将其命名为 MirrorStealer)来窃取其目标的凭据。 我们认为这是该恶意软件首次被公开描述。
在这篇博文中,我们介绍了观察到的妥协后活动,包括发送到 LODEINFO 以执行操作的 C&C 命令。 根据受影响机器上执行的某些活动,我们认为 MirrorFace 操作员以手动或半手动方式向 LODEINFO 发出命令。
初始访问
MirrorFace 于 29 月 XNUMX 日开始攻击th,2022 年,向目标分发带有恶意附件的鱼叉式网络钓鱼电子邮件。 该电子邮件的主题是 社群网站用动画拡散のお愿い [重要]要求在SNS上传播视频). 图1和图2显示了它的内容。
图 2. 翻译版本
MirrorFace 自称是日本政党的公关部门,要求收件人在他们自己的社交媒体资料(SNS - 社交网络服务)上分发所附视频,以进一步加强该党的公关并确保在参议院获胜。 此外,该电子邮件还提供了有关视频发布策略的明确说明。
由于参议院选举于10月XNUMX日举行th, 2022,这封电子邮件清楚地表明 MirrorFace 寻求机会攻击政治实体。 此外,电子邮件中的具体内容表明特定政党的成员成为攻击目标。
MirrorFace 还在活动中使用了另一封鱼叉式网络钓鱼电子邮件,附件标题为 【参考】220628発・选挙管理委员会读书分(添书分)。可执行程序 (来自谷歌翻译的翻译: [参考]220628 选举管理委员会文件(附录.exe). 附加的诱饵文件(如图 3 所示)也提到了众议院选举。
图 3. 向目标显示的诱饵文档
在这两种情况下,电子邮件均包含自解压 WinRAR 存档形式的恶意附件,且名称具有欺骗性 SNS用动画 拡散のお愿い。可执行程序 (来自谷歌翻译的翻译: SNS.exe传播视频请求)和【参考】220628発・选挙管理委员会读书分(添书分)。可执行程序 (来自谷歌翻译的翻译: [参考]220628 选举管理委员会文件(附录.exe) 。
这些 EXE 将其归档内容提取到 %TEMP% 文件夹。 具体而言,提取了四个文件:
- K7SysMon.exe,由 K7 Computing Pvt Ltd 开发的良性应用程序容易受到 DLL 搜索顺序劫持
- K7SysMn1.dll, 恶意加载器
- K7SysMon.exe.db, 加密的 LODEINFO 恶意软件
- 诱饵文件
然后,诱饵文档被打开以欺骗目标并表现出良性。 作为最后一步, K7SysMon.exe 执行加载恶意加载程序 K7SysMn1.dll 掉在旁边。 最后,loader读取内容 K7SysMon.exe.db,解密它,然后执行它。 请注意,卡巴斯基也观察到了这种方法,并在他们的 报告.
工具箱
在本节中,我们将描述在 Operation LiberalFace 中使用的恶意软件 MirrorFace。
LODE信息
LODEINFO 是一个正在持续开发中的 MirrorFace 后门。 JPCERT 报告了第一个版本 LODEINFO (v0.1.2),于 2019 年 0.3.8 月左右出现; 它的功能允许捕获屏幕截图、键盘记录、终止进程、泄露文件以及执行其他文件和命令。 从那时起,我们观察到它的每个版本都引入了一些变化。 例如,版本 2020(我们于 0.5.6 年 2021 月首次检测到)添加了命令 ransom(加密定义的文件和文件夹),版本 XNUMX(我们于 XNUMX 年 XNUMX 月检测到)添加了命令 配置,它允许运营商修改其存储在注册表中的配置。 除了上面提到的 JPCERT 报告外,今年早些时候还发布了对 LODEINFO 后门的详细分析 卡巴斯基.
在 Operation LiberalFace 中,我们观察到 MirrorFace 操作员同时使用常规 LODEINFO 和我们称之为第二阶段 LODEINFO 恶意软件。 通过查看整体功能,可以将第二阶段的 LODEINFO 与常规的 LODEINFO 区分开来。 特别是,第二阶段的 LODEINFO 在已实现的命令之外接受并运行 PE 二进制文件和 shellcode。 此外,第二阶段的 LODEINFO 可以处理 C&C 命令 配置, 但命令的功能 赎金 不见了。
最后,从 C&C 服务器接收到的数据在常规 LODEINFO 和第二阶段不同。 对于第二阶段的 LODEINFO,C&C 服务器将随机网页内容添加到实际数据中。 请参见描述接收到的数据差异的图 4、图 5 和图 6。 请注意,对于来自第二阶段 C&C 的每个接收到的数据流,前置代码片段都不同。
图 4. 从第一阶段 LODEINFO C&C 接收到的数据
图 5. 从第二阶段 C&C 接收到的数据
图 6. 从第二阶段 C&C 接收到的另一个数据流
偷镜者
MirrorStealer,内部命名 31558_n.dll 由 MirrorFace 开发,是一个凭证窃取程序。 据我们所知,此恶意软件尚未公开描述。 通常,MirrorStealer 从各种应用程序(如浏览器和电子邮件客户端)窃取凭据。 有趣的是,其中一个目标应用程序是 贝基!,目前仅在日本可用的电子邮件客户端。 所有被盗凭证都存储在 %TEMP%31558.txt 由于 MirrorStealer 没有泄露被盗数据的能力,因此它依赖于其他恶意软件来完成。
妥协后的活动
在我们的研究过程中,我们能够观察到向受感染计算机发出的一些命令。
初始环境观察
一旦 LODEINFO 在受感染的机器上启动并且它们已成功连接到 C&C 服务器,操作员便开始发出命令(见图 7)。
图 7. MirrorFace 操作员通过 LODEINFO 进行的初始环境观察
首先,操作员发出了一个 LODEINFO 命令, 打印, 以捕获受感染机器的屏幕。 接下来是另一个命令, ls, 查看 LODEINFO 所在的当前文件夹的内容(即 %TEMP%). 紧接着,运营商利用LODEINFO通过运行获取网络信息 净视图 和 网络视图/域. 第一个命令返回连接到网络的计算机列表,而第二个命令返回可用域的列表。
凭据和浏览器 cookie 窃取
收集完这些基本信息后,操作员进入下一阶段(见图 8)。
图 8. 发送到 LODEINFO 以部署凭据窃取程序、收集凭据和浏览器 cookie 并将它们泄露到 C&C 服务器的指令流
操作员使用子命令发出 LODEINFO 命令发送 -记忆 交付 偷镜者 恶意软件到受感染的机器。 子命令 -记忆 用于指示 LODEINFO 将 MirrorStealer 保留在其内存中,这意味着 MirrorStealer 二进制文件从未被丢弃在磁盘上。 随后,命令 记忆 发出。 此命令指示 LODEINFO 获取 MirrorStealer,将其注入生成的 CMD.EXE 过程,并运行它。
一旦 MirrorStealer 收集了凭据并将它们存储在 %temp%31558.txt,操作员使用 LODEINFO 来泄露凭据。
运营商也对受害者的浏览器 cookie 感兴趣。 但是,MirrorStealer 不具备收集这些信息的能力。 因此,操作员通过 LODEINFO 手动泄露了 cookie。 首先,操作员使用了LODEINFO命令 DIR 列出文件夹的内容 %LocalAppData%GoogleChrome用户数据 和 %LocalAppData%MicrosoftEdge用户数据. 然后,操作者将所有识别出的cookie文件复制到 %TEMP% 文件夹。 接下来,操作员使用 LODEINFO 命令泄露了所有收集到的 cookie 文件 的recv. 最后,运营商将复制的cookie文件从 %TEMP% 文件夹以试图删除痕迹。
文件和电子邮件窃取
在下一步中,操作员窃取了各种文档以及存储的电子邮件(见图 9)。
图 9. 发送到 LODEINFO 以泄露感兴趣的文件的指令流
为此,运营商首先利用 LODEINFO 提供 WinRAR 归档程序(解压文件)。 运用 解压文件,操作员从文件夹中收集并归档了 2022-01-01 之后修改的感兴趣的文件 %USERPROFILE% 和 C:$Recycle.Bin. 操作员对所有具有扩展名的此类文件感兴趣。文件*, .ppt*, .xls*, .jtd, 的.eml, .*xps及 .PDF.
请注意,除了常见的文档类型外,MirrorFace 还对具有以下类型的文件感兴趣 .jtd 延期。 这代表日语文字处理器的文档 一太郎 由 JustSystems 开发。
创建存档后,操作员从 腻子 继续 (pscp.exe) 然后用它把刚刚创建的 RAR 存档泄露到服务器上 45.32.13[.]180. 在之前的 MirrorFace 活动中未观察到此 IP 地址,也未在我们观察到的任何 LODEINFO 恶意软件中用作 C&C 服务器。 档案被泄露后,操作员立即删除了 解压文件, pscp.exe和 RAR 存档以清理活动痕迹。
二期LODEINFO部署
我们观察到的最后一步是传送第二阶段的 LODEINFO(参见图 10)。
图 10. 发送到 LODEINFO 以部署第二阶段 LODEINFO 的指令流
运营商交付了以下二进制文件: JESPR.dll, JsSchHlp.exe及 vcruntime140.dll 到受感染的机器。 原本的 JsSchHlp.exe 是由 JUSTSYSTEMS CORPORATION(前面提到的日语文字处理器 Ichitaro 的制造商)签署的良性应用程序。 然而,在这种情况下,MirrorFace 操作员滥用了已知的 Microsoft 数字签名验证 问题 并将 RC4 加密数据附加到 JsSchHlp.exe 电子签名。 由于提到的问题,Windows 仍然认为修改 JsSchHlp.exe 有效签署。
JsSchHlp.exe 也容易受到 DLL 侧载的影响。 因此,在执行时,种植 JESPR.dll 加载(参见图 11)。
图 11. 第二阶段 LODEINFO 的执行流程
JESPR.dll 是一个恶意加载程序,它从 JsSchHlp.exe,解密并运行它。 有效载荷是第二阶段的 LODEINFO,运行后,操作员利用常规 LODEINFO 为第二阶段设置持久性。 特别是,运营商运行了 REG.EXE 添加名为的值的实用程序 JsSchhlp 到 运行 保存路径的注册表项 JsSchHlp.exe.
然而,在我们看来,操作者未能使第二阶段的 LODEINFO 与 C&C 服务器正常通信。 因此,我们仍然不知道操作员利用第二阶段 LODEINFO 的任何进一步步骤。
有趣的观察
在调查过程中,我们进行了一些有趣的观察。 其中之一是操作员在向 LODEINFO 发出命令时犯了一些错误和拼写错误。 例如,运营商发送了字符串 cmd /c 目录“c:use” 到 LODEINFO,这很可能应该是 cmd /c 目录“c:users”.
这表明操作员正在以手动或半手动方式向 LODEINFO 发出命令。
我们的下一个观察是,即使操作员执行了一些清理以删除妥协的痕迹,操作员也忘记删除 %temp%31558.txt – 包含被盗凭据的日志。 因此,至少这条痕迹保留在受感染的机器上,它向我们表明操作员在清理过程中并不彻底。
结论
MirrorFace 继续瞄准日本的高价值目标。 在 Operation LiberalFace 中,它利用当时即将举行的参议院选举专门针对政治实体。 更有趣的是,我们的发现表明 MirrorFace 特别关注特定政党的成员。
在 LiberalFace 行动调查期间,我们设法发现了更多的 MirrorFace TTP,例如部署和利用其他恶意软件和工具来收集和泄露受害者的有价值数据。 此外,我们的调查显示,MirrorFace 操作员有些粗心,会留下痕迹并犯各种错误。
ESET Research 还提供私人 APT 情报报告和数据馈送。 有关此服务的任何查询,请访问 ESET 威胁情报 页面上发布服务提醒。
国际石油公司
档
| SHA-1 | 文件名 | ESET检测名称 | 产品描述 |
|---|---|---|---|
| F4691FF3B3ACD15653684F372285CAC36C8D0AEF | K7SysMn1.dll | Win32/代理.ACLP | LODEINFO 加载程序。 |
| DB81C8719DDAAE40C8D9B9CA103BBE77BE4FCE6C | K7SysMon.exe.db | 无 | 加密的 LODEINFO。 |
| A8D2BE15085061B753FDEBBDB08D301A034CE1D5 | JsSchHlp.exe | Win32/代理.ACLP | JsSchHlp.exe 在附加加密的第二阶段 LODEINFO 安全目录. |
| 0AB7BB3FF583E50FBF28B288E71D3BB57F9D1395 | JESPR.dll | Win32/代理.ACLP | 第二阶段 LODEINFO 加载程序。 |
| E888A552B00D810B5521002304D4F11BC249D8ED | 31558_n.dll | Win32/代理.ACLP | MirrorStealer 凭据窃取程序。 |
商业网络
| IP | Provider | 初见 | 更多信息 |
|---|---|---|---|
| 5.8.95[.]174 | G-Core 实验室 SA | 2022-06-13 | LODEINFO C&C 服务器。 |
| 45.32.13[.]180 | AS-乔帕 | 2022-06-29 | 用于数据泄露的服务器。 |
| 103.175.16[.]39 | 千兆位主机私人有限公司 | 2022-06-13 | LODEINFO C&C 服务器。 |
| 167.179.116[.]56 | AS-乔帕 | 2021-10-20 | www.ninesmn[.]com, 第二阶段 LODEINFO C&C 服务器。 |
| 172.105.217[.]233 | Linode,LLC | 2021-11-14 | www.aesorunwe[.]com, 第二阶段 LODEINFO C&C 服务器。 |
MITRE ATT&CK 技术
该表是使用 12版 MITRE ATT&CK 框架.
请注意,尽管此博文并未提供 LODEINFO 功能的完整概述,因为此信息已在其他出版物中提供,但下面的 MITRE ATT&CK 表包含与其相关的所有技术。
| 战术 | ID | 名字 | 产品描述 |
|---|---|---|---|
| 初始访问 | T1566.001 | 网络钓鱼:鱼叉式钓鱼附件 | 恶意 WinRAR SFX 存档附加到鱼叉式网络钓鱼电子邮件。 |
| 执行 | T1106 | 原生API | LODEINFO 可以使用 创建进程A API。 |
| T1204.002 | 用户执行:恶意文件 | MirrorFace 运营商依靠受害者打开通过电子邮件发送的恶意附件。 | |
| T1559.001 | 进程间通信:组件对象模型 | LODEINFO 可以通过组件对象模型执行命令。 | |
| 坚持 | T1547.001 | 启动或登录自动启动执行:注册表运行键/启动文件夹 | LODEINFO 添加一个条目到 香港中文大学润 确保持久性的关键。
我们观察到 MirrorFace 操作员手动添加一个条目到 香港中文大学润 确保第二阶段 LODEINFO 持久性的关键。 |
| 防御规避 | T1112 | 修改注册表 | LODEINFO 可以将其配置存储在注册表中。 |
| T1055 | 进程注入 | LODEINFO 可以将 shellcode 注入 CMD.EXE. | |
| T1140 | 去混淆/解码文件或信息 | LODEINFO 加载程序使用单字节 XOR 或 RC4 解密有效负载。 | |
| T1574.002 | 劫持执行流程:DLL 侧载 | MirrorFace 通过删除恶意库和合法可执行文件(例如, K7SysMon.exe). | |
| 药物发现 | T1082 | 系统信息发现 | LODEINFO 对受感染机器进行指纹识别。 |
| T1083 | 文件和目录发现 | LODEINFO 可以获得文件和目录列表。 | |
| T1057 | 进程发现 | LODEINFO 可以列出正在运行的进程。 | |
| T1033 | 系统所有者/用户发现 | LODEINFO 可以获得受害者的用户名。 | |
| T1614.001 | 系统位置发现:系统语言发现 | LODEINFO 检查系统语言以验证它没有在设置为使用英语的机器上运行。 | |
| 购物 | T1560.001 | 存档收集的数据:通过实用程序存档 | 我们观察到 MirrorFace 操作员使用 RAR 归档器归档收集的数据。 |
| T1114.001 | 电子邮件收集:本地电子邮件收集 | 我们观察到 MirrorFace 操作员收集存储的电子邮件信息。 | |
| T1056.001 | 输入捕获:键盘记录 | LODEINFO 执行键盘记录。 | |
| T1113 | 屏幕录制 | LODEINFO 可以获得截图。 | |
| T1005 | 来自本地系统的数据 | 我们观察到 MirrorFace 操作员收集和泄露感兴趣的数据。 | |
| 指挥和控制 | T1071.001 | 应用层协议:Web 协议 | LODEINFO 使用 HTTP 协议与其 C&C 服务器通信。 |
| T1132.001 | 数据编码:标准编码 | LODEINFO 使用 URL 安全的 base64 对其 C&C 流量进行编码。 | |
| T1573.001 | 加密通道:对称密码学 | LODEINFO 使用 AES-256-CBC 来加密 C&C 流量。 | |
| T1001.001 | 数据混淆:垃圾数据 | 第二阶段 LODEINFO C&C 将垃圾添加到发送的数据中。 | |
| 渗出 | T1041 | 通过 C2 通道进行渗透 | LODEINFO 可以将文件泄露到 C&C 服务器。 |
| T1071.002 | 应用层协议:文件传输协议 | 我们观察到 MirrorFace 使用安全复制协议 (SCP) 来泄露收集的数据。 | |
| 影响力故事 | T1486 | 为影响而加密的数据 | LODEINFO 可以加密受害者机器上的文件。 |
