A equipe de pesquisa da ESET descobriu uma campanha de phishing lançada pelo grupo APT MirrorFace semanas antes da eleição da Câmara dos Conselheiros do Japão em julho de 2022. A campanha, que batizamos de Operation LiberalFace, teve como alvo instituições políticas japonesas. Nossa investigação revelou que os membros de um determinado partido político estavam entre um dos alvos mais visados nesta campanha.

A equipe de pesquisa e investigação da ESET revelou detalhes sobre esta campanha e o grupo APT por trás dela na conferência AVAR 2022 no início deste mês.

Principais pontos:
 

  • No final de junho de 2022, o MirrorFace lançou uma campanha, chamada de Operation LiberalFace, que visa instituições políticas japonesas.
  • E-mails de phishing especialmente direcionados e contendo o backdoor do grupo, o LODEINFO, foram enviados aos alvos do ataque.
  • LODEINFO foi utilizado para implantar o malware adicional no computador da vítima, exfiltrar dados de acesso e roubar os documentos e e-mails da vítima;
  • Nesta campanha, o grupo utilizou um novo credential stealer, que é um malware de roubo de dados de acesso, chamado MirrorStealer.
  • A análise da atividade do grupo após o ataque sugere que as ações foram realizadas manualmente ou de forma semimanual.

MirrorFace é um grupo criminoso que fala chinês e que muitas vezes tem como alvo empresas e organizações no Japão. Embora haja especulações de que este grupo possa estar relacionado ao grupo APT10 (MacnicaKaspersky), a ESET não pode atribuí-lo a nenhum grupo APT conhecido. Portanto, nós o rastreamos como um grupo APT separado que chamamos de MirrorFace. Em particular, há relatos de que o MirrorFace e o LODEINFO, o malware desenvolvido pelo grupo e utilizado exclusivamente contra alvos no Japão, têm sido usados em ataques a meios de comunicação, empresas relacionadas à defesa, grupos de especialistas, organizações diplomáticas e instituições acadêmicas. O objetivo do MirrorFace é a espionagem e a exfiltração de arquivos de interesse.

Relacionamos a Operação LiberalFace com o MirrorFace ao considerar alguns pontos:

  • Até onde sabemos, o malware LODEINFO é utilizado exclusivamente pelo grupo MirrorFace.
  • Os objetivos da Operation LiberalFace estão alinhadas com os objetivos tradicionais do MirrorFace.
  • Uma amostra do segundo estágio do malware LODEINFO se comunica com um servidor C&C que rastreamos internamente como parte da infraestrutura do MirrorFace.

Um dos e-mails de phishing enviados na Operation LiberalFace se fez passar por uma comunicação oficial do departamento de relações públicas de um determinado partido político japonês. O e-mail continha um pedido relacionado às eleições da Câmara dos Conselheiros, e supostamente foi enviado em nome de um político proeminente. Todos os e-mails de spearphishing continham um anexo malicioso que, quando executado, implantava o LODEINFO na máquina da vítima.

Além disso, descobrimos que o grupo MirrorFace utilizava um malware não documentado anteriormente, batizado de MirrorStealer, que rouba dados de acesso de diferentes tipos de aplicativos usados pela vítima, tais como o navegador web ou um cliente de e-mail. Acreditamos que esta é a primeira vez que este malware é publicamente citado.

Na versão em inglês deste post, você encontra uma análise técnica completa da campanha da Operation LiberalFace, incluindo uma explicação detalhada do acesso inicial, atividades após o ataque, recursos do backdoor LODEINFO, recursos do malware que rouba dados de acesso utilizado pelo MirrorStealer, a roubo de informações de interesse, e muito mais. Além disso, indicadores de comprometimento e técnicas utilizadas por este grupo (de acordo com o MITRE) estão disponíveis na versão em inglês deste post.