Για εβδομάδες πριν από τις εκλογές της Βουλής των Συμβούλων τον Ιούλιο του 2022, μια ομάδα hacking, γνωστή ως MirrorFace, εξαπέλυσε επίθεση σε Ιάπωνες πολιτικούς χρησιμοποιώντας ένα νέο σύστημα κλοπής credentials που ονομάστηκε “MirrorStealer”.
Δείτε επίσης: Η Uber έπεσε για άλλη μια φορά θύμα παραβίασης δεδομένων
Οι αναλυτές της ESET αποκάλυψαν την εκστρατεία επειδή οι χάκερ άφησαν πίσω τους ίχνη.
Οι χάκερ χρησιμοποίησαν το νέο information-stealing malware MirrorStealer σε συνδυασμό με το backdoor LODEINFO, το οποίο επικοινωνεί με έναν C2 server που είναι γνωστό ως μέρος του δικτύου της APT10.
Τον Οκτώβριο του 2022, η Kaspersky δημοσιεύσε μια έκθεση για εκτεταμένη ανάπτυξη του backdoor LODEINFO εναντίον ορισμένων ιαπωνικών στόχων υψηλού προφίλ.
Δείτε επίσης: Microsoft: Διορθώνει bug που επιτρέπει εγκατάσταση ransomware
Spearphishing επιθέσεις
Στις 29 Ιουνίου 2022, η ομάδα hacking MirrorFace (APT10 και Cicada) ξεκίνησε μια απάτη spear-phishing στέλνοντας μηνύματα ηλεκτρονικού ταχυδρομείου στους στόχους της προσποιούμενη ότι είναι εκπρόσωποι του πολιτικού κόμματος του παραλήπτη. Το μήνυμα περιείχε ένα συνημμένο αρχείο με αρχεία βίντεο που τους ζητούσε να το δημοσιεύσουν σε πλατφόρμες κοινωνικής δικτύωσης.
Σε ορισμένες περιπτώσεις, οι δράστες προσποιούνταν ότι ήταν ιαπωνική κυβερνητική υπηρεσία και συμπεριλάμβαναν παραπλανητικά έγγραφα που κατέβαζαν κρυφά αρχεία WinRAR χωρίς την επίγνωση του χρήστη.
Το αρχείο περιείχε ένα κρυπτογραφημένο αντίγραφο του κακόβουλου λογισμικού LODEINFO, ένα κακόβουλο πρόγραμμα φόρτωσης DLL και μια αβλαβή εφαρμογή (K7Security Suite) που χρησιμοποιείται για την παραβίαση εντολών αναζήτησης DLL.
Αυτή η εξέλιξη της επίθεσης είναι πανομοιότυπη με αυτή που περιέγραψε η Kaspersky στην προηγούμενη έκθεσή της και αναπτύσσει το backdoor απευθείας στη μνήμη RAM.
Οι κακόβουλες δραστηριότητες του MirrorStealer
Για να επιτύχει τους κακόβουλους στόχους της, η APT10 αξιοποίησε το LODEINFO για να αναπτύξει το MirrorStealer (‘31558_n.dll’) σε παραβιασμένα συστήματα σε όλο τον κόσμο.
Το MirrorStealer είναι ένα κακόβουλο πρόγραμμα που αναζητά ευαίσθητα δεδομένα που είναι αποθηκευμένα σε προγράμματα περιήγησης στο διαδίκτυο και σε προγράμματα ηλεκτρονικού ταχυδρομείου, συμπεριλαμβανομένου του ευρέως χρησιμοποιούμενου ιαπωνικού προγράμματος ‘Becky!’.
Αυτό δείχνει ότι το MirrorStealer μπορεί να έχει σχεδιαστεί ειδικά για τις επιχειρήσεις της APT10 με επίκεντρο την Ιαπωνία.
Το MirrorStealer αποθηκεύει όλα τα κλεμμένα credentials σε ένα προσωρινό αρχείο txt, περιμένοντας το LODEINFO να τα μεταφέρει στον Command-and-Control (C2) server, καθώς δεν διαθέτει τις δικές του δυνατότητες διαρροής δεδομένων.
Το LODEINFO είναι ο σύνδεσμος που γεφυρώνει το C2 και το MirrorStealer- αναμεταδίδει εντολές στον info-stealer.
Οι ειδικοί ασφαλείας της ESET ανακάλυψαν ότι το LODEINFO χρησιμοποιούσε εντολές για να φορτώσει το MirrorStealer στη μνήμη του παραβιασμένου συστήματος και να το εισάγει σε μια νεοσύστατη διαδικασία cmd.exe, εκτελώντας το αμέσως μετά.
Επιπλέον, τα στοιχεία δείχνουν ότι ο remote operator προσπάθησε αρχικά να κλέψει cookies του προγράμματος περιήγησης χρησιμοποιώντας το MirrorStealer, αλλά αναγκάστηκε να αλλάξει στρατηγική και να χρησιμοποιήσει το LODEINFO, επειδή αυτός ο νέος info-stealer δεν μπορεί να εκτελέσει τέτοιες εργασίες.
Δείτε επίσης: HTML smuggling τεχνική χρησιμοποιεί αρχεία SVG και διανέμει το QBot
Η APT10 δεν ήταν τόσο σχολαστική σε αυτή την εκστρατεία, αφήνοντας το αρχείο διαπιστευτηρίων του MirrorStealer πίσω στους υπολογιστές που παραβιάστηκαν. Όπως ήταν αναμενόμενο, η προσέγγισή τους είχε ως αποτέλεσμα να παραμείνουν όλα τα ίχνη της δραστηριότητάς τους σε αυτά τα συστήματα.
Η APT 10 είναι ένας εξελιγμένος κινεζικός φορέας απειλών που δραστηριοποιείται από το 2009. Η ομάδα έχει βάλει στο στόχαστρο κυβερνητικές υπηρεσίες και εταιρείες τεχνολογίας σε όλο τον κόσμο, αναζητώντας πολύτιμες πληροφορίες που μπορούν να χρησιμοποιήσουν για σκοπούς πολιτικής κατασκοπείας ή συλλογής πληροφοριών. Οι οργανισμοί πρέπει να γνωρίζουν τους κινδύνους που εγκυμονούν οι επιθέσεις της APT10, ώστε να μπορούν να λάβουν προληπτικά μέτρα για την προστασία τους, συμπεριλαμβανομένων των βέλτιστων πρακτικών για μέτρα κυβερνοασφάλειας, όπως πολιτικές ισχυρών κωδικών πρόσβασης, ανάπτυξη ελέγχου ταυτοποίησης δύο παραγόντων, όπου αυτό είναι δυνατόν, κ.λπ. Επιπλέον, είναι σημαντικό να ενημερώνονται για τυχόν νέες απειλές που θέτει ο συγκεκριμένος φορέας απειλών, ώστε να μπορούν να προσαρμόσουν ανάλογα τα μέτρα ασφαλείας τους, αν χρειαστεί.
Πηγή πληροφοριών: bleepingcomputer.com