MirrorFace greift mit Operation LiberalFace Japans Politiker an

ESET-Forscher entdeckten eine Spearphishing-Kampagne, die wenige Wochen vor den Wahlen zum japanischen Abgeordnetenhaus auf politische Einrichtungen abzielte, und entdeckten dabei einen bisher unbeschriebenen Credential Stealer der MirrorFace Gruppe.

ESET-Forscher entdeckten eine Spearphishing-Kampagne, die wenige Wochen vor den Wahlen zum japanischen Abgeordnetenhaus auf politische Einrichtungen abzielte, und entdeckten dabei einen bisher unbeschriebenen Credential Stealer der MirrorFace Gruppe.

ESET-Forscher entdeckten eine Spearphishing-Kampagne, die in den Wochen vor den Wahlen zum japanischen Abgeordnetenhaus im Juli 2022 von einer APT-Gruppe gestartet wurde, die von ESET Research als MirrorFace bezeichnet wird. Die Kampagne, die wir Operation LiberalFace genannt haben, zielte auf japanische politische Einrichtungen ab. Unsere Untersuchung ergab, dass die Mitglieder einer bestimmten politischen Partei bei dieser Kampagne besonders im Fokus standen. ESET Research enthüllte Details über diese Kampagne und die dahinter stehende APT-Gruppe auf der AVAR 2022 Konferenz zu Beginn dieses Monats.

Die wichtigsten Punkte dieses Blogposts:

  • Ende Juni 2022 startete MirrorFace eine Kampagne, die wir Operation LiberalFace genannt haben und die sich gegen japanische politische Einrichtungen richtete.
  • Spearphishing-E-Mails mit der Backdoor LODEINFO, dem Flaggschiff der Gruppe, wurden an die Zielpersonen gesendet.
  • LODEINFO wurde verwendet, um zusätzliche Malware zu verbreiten, die Anmeldeinformationen des Opfers zu stehlen und die Dokumente und E-Mails des Opfers zu entwenden.
  • Bei der Operation LiberalFace wurde ein bisher unbeschriebenes Programm zum Stehlen von Anmeldeinformationen („Credential Stealer“) verwendet, das wir MirrorStealer genannt haben.
  • ESET Research führte eine Analyse der Aktivitäten nach der Kompromittierung durch, die darauf schließen lässt, dass die beobachteten Aktionen manuell oder halb-manuell durchgeführt wurden.

MirrorFace ist ein chinesischsprachiger Bedrohungsakteur, der es auf Unternehmen und Organisationen in Japan abgesehen hat. Es gibt zwar Spekulationen, dass dieser Bedrohungsakteur mit APT10 (Macnica, Kaspersky) in Verbindung stehen könnte, aber ESET kann ihn keiner bekannten APT-Gruppe zuordnen. Daher verfolgen wir ihn als eigenständige Entität, der wir den Namen MirrorFace gegeben haben. Insbesondere MirrorFace und LODEINFO, die „hauseigene“ Malware, die ausschließlich gegen Ziele in Japan eingesetzt wird, haben es Berichten zufolge auf Medien, Verteidigungsunternehmen, Think Tanks, diplomatische Organisationen und akademische Einrichtungen abgesehen. Das Ziel von MirrorFace ist die Spionage und das Stehlen von Dateien von besonderem Interesse.

Auf der Grundlage dieser Indikatoren ordnen wir die Operation LiberalFace der MirrorFace Gruppe zu:

  • Unseres Wissens nach wird die LODEINFO-Malware ausschließlich von MirrorFace verwendet.
  • Die Ziele der Operation LiberalFace stimmen mit den traditionellen Zielen von MirrorFace überein.
  • Ein LODEINFO-Malware-Sample der zweiten Stufe kontaktierte einen C&C-Server, den wir intern als Teil der MirrorFace-Infrastruktur tracken.

Eine der Spearphishing-E-Mails, die im Rahmen der Operation LiberalFace verschickt wurden, gab sich als offizielle Mitteilung der PR-Abteilung einer bestimmten japanischen politischen Partei aus und enthielt eine Anfrage zu den Wahlen zum Abgeordnetenhaus, die angeblich im Namen eines prominenten Politikers verschickt wurde. Alle Spearphishing-E-Mails enthielten einen bösartigen Anhang, der bei der Ausführung LODEINFO auf dem angegriffenen Computer installierte.

Darüber hinaus haben wir entdeckt, dass MirrorFace eine bisher nicht dokumentierte Malware verwendet, die wir MirrorStealer genannt haben, um die Anmeldedaten des Ziels zu stehlen. Wir glauben, dass dies das erste Mal ist, dass diese Malware öffentlich beschrieben wurde.

In diesem Blogpost gehen wir auf die beobachteten Aktivitäten nach der Kompromittierung ein, einschließlich der C&C-Befehle, die an LODEINFO gesendet wurden, um anschließend Aktionen auszuführen. Aufgrund bestimmter Aktivitäten, die auf dem betroffenen Rechner durchgeführt wurden, gehen wir davon aus, dass der MirrorFace-Operator die Befehle an LODEINFO auf manuelle oder halbmanuelle Weise erteilt hat.

Ursprünglicher Zugang

MirrorFace startete den Angriff am 29. Juni 2022, indem sie Spearphishing-E-Mails mit einem bösartigen Anhang an die Zielpersonen verteilte. Der Betreff der E-Mail lautete <gekürzt>SNS用動画 拡散のお願い (Übersetzung von Google Translate: [Wichtig] <gekürzt> Antrag auf Verbreitung von Videos für SNS). Abbildung 1 und Abbildung 2 zeigen den Inhalt.

Abbildung 1. Originaltext der E-Mail

Abbildung 2. Übersetzte Version

Unter dem Vorwand, die PR-Abteilung einer japanischen politischen Partei zu sein, forderte MirrorFace die Empfänger auf, die angehängten Videos auf ihren eigenen Social-Media-Profilen (SNS – Social Network Service) zu verbreiten, um die PR der Partei weiter zu stärken und den Sieg in der Abgeordnetenkammer zu sichern. Darüber hinaus enthält die E-Mail klare Anweisungen für die Veröffentlichungsstrategie der Videos.

Da die Wahl zum Abgeordnetenhaus am 10. Juli 2022 stattfand, zeigt diese E-Mail eindeutig, dass MirrorFace die Gelegenheit nutzte, um politische Einrichtungen anzugreifen. Der spezifische Inhalt der E-Mail deutet außerdem darauf hin, dass Mitglieder einer bestimmten politischen Partei angegriffen wurden.

MirrorFace verwendete noch eine andere Spearphishing-E-Mail in der Kampagne, bei der der Anhang den Titel 【参考】220628<gekürzt>発・<gekürzt>選挙管理委員会宛文書(添書分).exe trug (Übersetzung von Google Translate: [Referenz] 220628 Dokumente des Ministeriums von <gekürzt> an <gekürzt> Wahlverwaltungsausschuss (Anhang).exe). Das beigefügte „Köderdokument“ (siehe Abbildung 3) bezieht sich ebenfalls auf die Wahlen zur Abgeordnetenkammer.

Abbildung 3. Köder, der der Zielperson angezeigt wird

In beiden Fällen enthielten die E-Mails bösartige Anhänge in Form von selbstextrahierenden WinRAR-Archiven mit den irreführenden Namen <gekürzt>SNS用動画 拡散のお願い.exe (Übersetzung von Google Translate: <gekürzt> Antrag auf Verbreitung von Videos für SNS.exe)  und 【参考】220628<gekürzt>発・<gekürzt>選挙管理委員会宛文書(添書分).exe (Übersetzung von Google Translate: [Referenz] 220628 Dokumente des Ministeriums von <gekürzt> an <gekürzt> Wahlverwaltungsausschuss (appendix).exe).

Diese EXEs entpacken ihren archivierten Inhalt in den Ordner %TEMP%. Im Einzelnen werden vier Dateien extrahiert:

  • K7SysMon.exe, eine von K7 Computing Pvt Ltd. entwickelte gutartige Anwendung, die allerdings für das Umleiten von DLL-Suchaufträgen anfällig ist
  • K7SysMn1.dll, ein schädlicher Loader
  • K7SysMon.Exe.db, verschlüsselte LODEINFO Malware
  • Ein Köder-Dokument zur Ablenkung

Dann wird das Köderdokument geöffnet, um das Ziel zu täuschen und harmlos zu erscheinen. Als letzter Schritt wird die Datei K7SysMon.exe ausgeführt, die den daneben abgelegten bösartigen Loader K7SysMn1.dll lädt. Schließlich liest der Loader den Inhalt von K7SysMon.Exe.db, entschlüsselt ihn und führt ihn dann aus. Diese Vorgehensweise wurde auch von Kaspersky beobachtet und in ihrem Bericht beschrieben.

Toolset

In diesem Abschnitt beschreiben wir die Malware MirrorFace, die bei der Operation LiberalFace eingesetzt wurde.

LODEINFO

LODEINFO ist eine MirrorFace Backdoor, die ständig weiterentwickelt wird. JPCERT berichtete über die erste Version von LODEINFO (v0.1.2), die im Dezember 2019 auftauchte. Ihre Funktionalität ermöglicht das Erstellen von Screenshots, Keylogging, das Beenden von Prozessen, das Stehlen von Dateien und das Ausführen zusätzlicher Dateien und Befehle. Seitdem haben wir mehrere Änderungen an jeder seiner Versionen beobachtet. So fügte die Version 0.3.8 (die wir erstmals im Juni 2020 entdeckten) den Befehl ransom hinzu (der bestimmte Dateien und Ordner verschlüsselt), und die Version 0.5.6 (die wir im Juli 2021 entdeckten) fügte den Befehl config hinzu, der es den Anwendern ermöglicht, die in der Registry gespeicherte Konfiguration zu ändern. Neben dem oben erwähnten JPCERT-Bericht wurde Anfang dieses Jahres auch eine detaillierte Analyse der LODEINFO-Backdoor von Kaspersky veröffentlicht.

Bei der Operation LiberalFace haben wir beobachtet, dass MirrorFace-Operatoren sowohl das reguläre LODEINFO als auch die (wie wir sie nennen) LODEINFO-Malware der zweiten Stufe verwenden. Die LODEINFO der zweiten Stufe lässt sich anhand der Gesamtfunktionalität von der regulären LODEINFO unterscheiden. Insbesondere akzeptiert LODEINFO der zweiten Stufe PE-Binärdateien und Shellcode außerhalb der implementierten Befehle und führt diese aus. Darüber hinaus kann die LODEINFO der zweiten Stufe die C&C-Befehlskonfiguration verarbeiten, aber es fehlt die Funktionalität für den Befehl ransom.

Schließlich unterscheiden sich die vom C&C-Server empfangenen Daten zwischen der normalen LODEINFO und der der zweiten Stufe. Bei LODEINFO der zweiten Stufe stellt der C&C-Server den eigentlichen Daten einen zufälligen Webseiteninhalt voran. Siehe Abbildung 4, Abbildung 5 und Abbildung 6, die den Unterschied zwischen den empfangenen Daten zeigen. Beachten Sie, dass der vorangestellte Codeschnipsel für jeden empfangenen Datenstrom vom C&C-Server der zweiten Stufe unterschiedlich ist.

Abbildung 4. Daten, die vom LODEINFO C&C empfangen werden

 

Abbildung 5. Daten vom C&C der zweiten Stufe

 

Abbildung 6. Andere Daten vom C&C der zweiten Stufe

MirrorStealer

MirrorStealer, von MirrorFace intern 31558_n.dll genannt, ist ein Credential Stealer. Soweit wir wissen, ist diese Malware noch nicht öffentlich beschrieben worden. Im Allgemeinen stiehlt MirrorStealer Anmeldeinformationen von verschiedenen Anwendungen wie Browsern und E-Mail-Clients. Interessanterweise ist eine der Zielanwendungen Becky!, ein E-Mail-Client, der derzeit nur in Japan verfügbar ist. Alle gestohlenen Zugangsdaten werden in %TEMP%\31558.txt gespeichert, und da MirrorStealer selbst nicht in der Lage ist, die gestohlenen Daten zu exfiltrieren, ist er dafür auf andere Malware angewiesen.

Weitere Aktivitäten

Während unserer Nachforschungen konnten wir einige der Befehle beobachten, die an kompromittierte Computer ausgegeben wurden.

Beobachtung der Umgebung

Sobald LODEINFO auf den kompromittierten Computern gestartet wurde und diese erfolgreich mit dem C&C-Server verbunden waren, begann ein Operator mit der Ausgabe von Befehlen (siehe Abbildung 7).

Abbildung 7. Erste Umgebungsbeobachtung durch den MirrorFace-Operator über LODEINFO

Zunächst gab der Bediener einen der LODEINFO-Befehle, print, aus, um den Bildschirm des kompromittierten Rechners zu erfassen. Danach folgte ein weiterer Befehl, ls, um den Inhalt des aktuellen Ordners anzuzeigen, in dem sich LODEINFO befand (d. h. %TEMP%). Gleich danach nutzte der Operator LODEINFO, um Netzwerkinformationen zu erhalten, indem er net view und net view /domain ausführte. Der erste Befehl gibt die Liste der mit dem Netzwerk verbundenen Computer zurück, der zweite die Liste der verfügbaren Domänen.

Stehlen von Zugangsdaten und Browser-Cookies

Nachdem diese grundlegenden Informationen gesammelt wurden, ging der Betreiber zur nächsten Phase über (siehe Abbildung 8).

Abbildung 8. Ablauf der an LODEINFO gesendeten Anweisungen zur Bereitstellung des Credential Stealers, zum Sammeln von Anmeldedaten und Browser-Cookies und zu deren Exfiltration auf den C&C-Server

Der Bediener gab den Befehl LODEINFO mit dem Unterbefehl -memory aus, um die MirrorStealer-Malware auf den kompromittierten Computer zu übertragen. Der Unterbefehl -memory wurde verwendet, um LODEINFO mitzuteilen, dass MirrorStealer im Speicher verbleiben soll, was bedeutet, dass die MirrorStealer-Binärdatei nie auf der Festplatte abgelegt wurde. Anschließend wurde der Befehl memory ausgegeben. Dieser Befehl wies LODEINFO an, MirrorStealer zu nehmen, es in den gespawnten cmd.exe-Prozess zu injizieren und auszuführen.

Nachdem MirrorStealer die Anmeldedaten gesammelt und in %temp%\31558.txt gespeichert hatte, verwendete der Anwender LODEINFO, um die Anmeldedaten zu exfiltrieren.

Der Betreiber war auch an den Browser-Cookies des Opfers interessiert. MirrorStealer verfügt jedoch nicht über die Fähigkeit, diese zu sammeln. Daher exfiltrierte der Betreiber die Cookies manuell über LODEINFO. Zunächst verwendete der Anwender den LODEINFO-Befehl dir, um den Inhalt der Ordner %LocalAppData%\Google\Chrome\User Data\ und %LocalAppData%\Microsoft\Edge\User Data\ aufzulisten. Anschließend kopierte der Bediener alle identifizierten Cookie-Dateien in den Ordner %TEMP%. Anschließend exfiltrierte der Oparator alle gesammelten Cookie-Dateien mit dem LODEINFO-Befehl recv. Abschließend löschte der Anwender die kopierten Cookie-Dateien aus dem Ordner %TEMP%, um die Spuren zu beseitigen.

Stehelen von Dokumenten und E-Mails

Im nächsten Schritt exfiltrierte der Betreiber Dokumente verschiedener Art sowie gespeicherte E-Mails (siehe Abbildung 9).

Abbildung 9. Ablauf der an LODEINFO gesendeten Anweisungen zum Stehlen der Dateien von Interesse

Zu diesem Zweck verwendete der Bediener zunächst LODEINFO, um das WinRAR-Archivierungsprogramm (rar.exe) bereitzustellen. Mithilfe von rar.exe sammelte und archivierte der Operator Dateien von Interesse, die nach dem 01.01.2022 in den Ordnern %USERPROFILE%\ und C:\$Recycle.Bin\ geändert wurden. Der Bediener war besonders an allen Dateien mit den Erweiterungen .doc*, .ppt*, .xls*, .jtd, .eml, .*xps und .pdf interessiert.

Beachten Sie, dass MirrorFace neben den üblichen Dokumenttypen auch an Dateien mit der Endung .jtd interessiert war. Diese steht für Dokumente des von JustSystems entwickelten japanischen Textverarbeitungsprogramms Ichitaro.

Sobald das Archiv erstellt war, stellte der Anwender den SCP-Client (Secure Copy Protocol) aus der PuTTY-Suite (pscp.exe) bereit und verwendete ihn dann, um das soeben erstellte RAR-Archiv an den Server unter 45.32.13[.]180 zu schicken. Diese IP-Adresse wurde bei früheren MirrorFace-Aktivitäten nicht beobachtet und wurde bei keiner von uns beobachteten LODEINFO-Malware als C&C-Server verwendet. Unmittelbar nach der Exfiltrierung des Archivs löschte der Betreiber rar.exe, pscp.exe und das RAR-Archiv, um die Spuren der Aktivität zu beseitigen.

Verteilung von LODEINFO der zweiten Stufe

Der letzte Schritt, den wir beobachtet haben, war die Bereitstellung der zweiten Stufe von LODEINFO (siehe Abbildung 10).

Abbildung 10. Ablauf der an LODEINFO gesendeten Anweisungen zur Bereitstellung der zweiten Stufe von LODEINFO

Der Betreiber lieferte die folgenden Binärdateien: JSESPR.dll, JsSchHlp.exe und vcruntime140.dll an den angegriffenen Computer. Die ursprüngliche JsSchHlp.exe ist eine gutartige Anwendung, die von der JUSTSYSTEMS CORPORATION (Hersteller des bereits erwähnten japanischen Textverarbeitungsprogramms Ichitaro) signiert ist. In diesem Fall hat der MirrorFace-Betreiber jedoch ein bekanntes Problem bei der Überprüfung digitaler Signaturen von Microsoft ausgenutzt und RC4-verschlüsselte Daten an die digitale Signatur von JsSchHlp.exe angehängt. Aufgrund des erwähnten Problems betrachtet Windows die modifizierte JsSchHlp.exe immer noch als gültig signiert.

JsSchHlp.exe ist auch anfällig für DLL-Side-Loading. Daher wird bei der Ausführung die eingebaute JSESPR.dll geladen (siehe Abbildung 11).

Abbildung 11. Ablauf der zweiten Stufe der LODEINFO-Ausführung

JSESPR.dll ist ein bösartiger Loader, der die angehängte Payload von JsSchHlp.exe liest, sie entschlüsselt und ausführt. Bei der Payload handelt es sich um LODEINFO der zweiten Stufe, und sobald sie ausgeführt wurde, nutzte der Operator das reguläre LODEINFO, um die Persistenz für das LODEINFO der zweiten Stufe herzustellen. Dazu führte der Angreifer das Dienstprogramm reg.exe aus, um einen Wert namens JsSchHlp zum Registrierungsschlüssel Run hinzuzufügen, der den Pfad zu JsSchHlp.exe enthält.

Es scheint jedoch, dass es dem Betreiber nicht gelungen ist, das LODEINFO der zweiten Stufe richtig mit dem C&C-Server kommunizieren zu lassen. Daher sind uns alle weiteren Schritte des Betreibers, die die zweite Stufe des LODEINFOs verwenden, unbekannt.

Interessante Beobachtungen

Während der Untersuchung haben wir einige interessante Beobachtungen gemacht. Eine davon ist, dass der Bediener bei der Ausgabe von Befehlen an LODEINFO einige Fehler und Tippfehler gemacht hat. So hat der Bediener beispielsweise die Zeichenfolge cmd /c dir „c:\use\“ an LODEINFO gesendet, die höchstwahrscheinlich cmd /c dir „c:\users\“ lauten sollte.

Dies deutet darauf hin, dass der Bediener Befehle an LODEINFO auf manuelle oder halbmanuelle Weise erteilt.

Unsere nächste Beobachtung ist, dass der Betreiber zwar einige Bereinigungen durchgeführt hat, um Spuren der Kompromittierung zu beseitigen, aber vergessen hat, %temp%\31558.txt zu löschen – das Protokoll, das die gestohlenen Anmeldedaten enthält. Zumindest diese Spur blieb also auf dem kompromittierten Rechner und zeigt uns, dass der Betreiber bei der Bereinigung nicht gründlich war.

Fazit

MirrorFace hat es weiterhin auf hochrangige Ziele in Japan abgesehen. Bei der Operation LiberalFace wurden speziell politische Einrichtungen ins Visier genommen, wobei die bevorstehende Wahl zum Abgeordnetenhaus ausgenutzt wurde. Interessanterweise deuten unsere Erkenntnisse darauf hin, dass MirrorFace sich besonders auf die Mitglieder einer bestimmten politischen Partei konzentrierte.

Im Rahmen der Operation LiberalFace konnten wir weitere TTPs von MirrorFace aufdecken, wie z. B. den Einsatz und die Nutzung zusätzlicher Malware und Tools zum Sammeln und Exfiltrieren wertvoller Daten der Opfer. Außerdem ergab unsere Untersuchung, dass die MirrorFace-Betreiber etwas nachlässig sind, Spuren hinterlassen und verschiedene Fehler machen.

IoCs

Dateien

SHA-1FilenameESET detection nameDescription
F4691FF3B3ACD15653684F372285CAC36C8D0AEFK7SysMn1.dllWin32/Agent.ACLPLODEINFO loader.
DB81C8719DDAAE40C8D9B9CA103BBE77BE4FCE6CK7SysMon.Exe.dbN/AEncrypted LODEINFO.
A8D2BE15085061B753FDEBBDB08D301A034CE1D5JsSchHlp.exeWin32/Agent.ACLPJsSchHlp.exe with appended encrypted second-stage LODEINFO in the security directory.
0AB7BB3FF583E50FBF28B288E71D3BB57F9D1395JSESPR.dllWin32/Agent.ACLPSecond-stage LODEINFO loader.
E888A552B00D810B5521002304D4F11BC249D8ED31558_n.dllWin32/Agent.ACLPMirrorStealer credential stealer.

Netzwerk

IPProviderFirst SeenDetails
5.8.95[.]174G-Core Labs S.A.2022-06-13LODEINFO C&C server.
45.32.13[.]180AS-CHOOPA2022-06-29Server for data exfiltration.
103.175.16[.]39Gigabit Hosting Sdn Bhd2022-06-13LODEINFO C&C server.
167.179.116[.]56AS-CHOOPA2021-10-20www.ninesmn[.]com, second-stage LODEINFO C&C server.
172.105.217[.]233Linode, LLC2021-11-14www.aesorunwe[.]com, second-stage LODEINFO C&C server.

MITRE ATT&CK techniques

This table was built using version 12 of the MITRE ATT&CK framework.

Beachten Sie, dass dieser Blogpost zwar keinen vollständigen Überblick über die LODEINFO-Fähigkeiten bietet, da diese Informationen bereits in anderen Publikationen verfügbar sind, die MITRE ATT&CK-Tabelle unten jedoch alle damit verbundenen Techniken enthält.

TacticIDNameDescription
Initial AccessT1566.001Phishing: Spearphishing AttachmentA malicious WinRAR SFX archive is attached to a spearphishing email.
ExecutionT1106Native APILODEINFO can execute files using the CreateProcessA API.
T1204.002User Execution: Malicious FileMirrorFace operators rely on a victim opening a malicious attachment sent via email.
T1559.001Inter-Process Communication: Component Object ModelLODEINFO can execute commands via Component Object Model.
PersistenceT1547.001Boot or Logon Autostart Execution: Registry Run Keys / Startup FolderLODEINFO adds an entry to the HKCU Run key to ensure persistence.

We observed MirrorFace operators manually adding an entry to the HKCU Run key to ensure persistence for the second-stage LODEINFO.
Defense EvasionT1112Modify RegistryLODEINFO can store its configuration in the registry.
T1055Process InjectionLODEINFO can inject shellcode into cmd.exe.
T1140Deobfuscate/Decode Files or InformationLODEINFO loader decrypts a payload using a single-byte XOR or RC4.
T1574.002Hijack Execution Flow: DLL Side-LoadingMirrorFace side-loads LODEINFO by dropping a malicious library and a legitimate executable (e.g., K7SysMon.exe).
DiscoveryT1082System Information DiscoveryLODEINFO fingerprints the compromised machine.
T1083File and Directory DiscoveryLODEINFO can obtain file and directory listings.
T1057Process DiscoveryLODEINFO can list running processes.
T1033System Owner/User DiscoveryLODEINFO can obtain the victim’s username.
T1614.001System Location Discovery: System Language DiscoveryLODEINFO checks the system language to verify that it is not running on a machine set to use the English language.
CollectionT1560.001Archive Collected Data: Archive via UtilityWe observed MirrorFace operators archiving collected data using the RAR archiver.
T1114.001Email Collection: Local Email CollectionWe observed MirrorFace operators collecting stored email messages.
T1056.001Input Capture: KeyloggingLODEINFO performs keylogging.
T1113Screen CaptureLODEINFO can obtain a screenshot.
T1005Data from Local SystemWe observed MirrorFace operators collecting and exfiltrating data of interest.
Command and ControlT1071.001Application Layer Protocol: Web ProtocolsLODEINFO uses the HTTP protocol to communicate with its C&C server.
T1132.001Data Encoding: Standard EncodingLODEINFO uses URL-safe base64 to encode its C&C traffic.
T1573.001Encrypted Channel: Symmetric CryptographyLODEINFO uses AES-256-CBC to encrypt C&C traffic.
T1001.001Data Obfuscation: Junk DataSecond-stage LODEINFO C&C prepends junk to sent data.
ExfiltrationT1041Exfiltration Over C2 ChannelLODEINFO can exfiltrate files to the C&C server.
T1071.002Application Layer Protocol: File Transfer ProtocolsWe observed MirrorFace using Secure Copy Protocol (SCP) to exfiltrate collected data.
ImpactT1486Data Encrypted for ImpactLODEINFO can encrypt files on the victim’s machine.
For any inquiries about our research published on WeLiveSecurity, please contact us at threatintel@eset.com.

Um mehr darüber zu erfahren, wie Threat Intelligence die Cybersicherheit Ihres Unternehmens verbessern kann, besuchen Sie unsere ESET Threat Intelligence Webseite.

Haben Sie Fragen und Anregungen zu diesem, anderen oder zukünftigen Themen, die Sie gern betrachtet sehen wollen? Dann nutzen Sie gern die Kommentarfunktion unter diesem Artikel oder nutzen unser Kontaktformular!

Erhalten Sie E-Mails zu neuen Artikeln zur Cyber-Sicherheitslage in der Ukraine. Jetzt anmelden!

Newsletter-Anmeldung

Hier können Sie mitdiskutieren