Исследователи ESET обнаружили спирфишинговую кампанию, запущенную за несколько недель до выборов в Палату советников Японии в июле 2022 года группой APT, которую ESET Research отслеживает как MirrorFace. Кампания, которую ESET назвали Operation LiberalFace, была направлена на японские политические организации; расследование показало, что особое внимание в этой кампании уделялось членам конкретной политической партии.
Operation LiberalFace
- В конце июня 2022 года MirrorFace запустила кампанию, которую ESET назвали Operation LiberalFace, направленную на японские политические организации.
- Целям рассылались спирфишинговые сообщения электронной почты, содержащие флагманский бэкдор группы LODEINFO.
- LODEINFO использовался для доставки дополнительного вредоносного ПО, утечки учетных данных жертвы и кражи ее документов и электронной почты.
- В операции LiberalFace использовался ранее не описанный похититель учетных данных, который ESET назвали MirrorStealer.
- ESET Research провела анализ действий после компрометации, который позволяет предположить, что наблюдаемые действия выполнялись в ручном или полуручном режиме.
MirrorFace - это китайскоговорящий агент угроз, нацеленный на компании и организации, расположенные в Японии. Хотя есть некоторые предположения, что этот агент может быть связан с APT10 (Macnica, Kaspersky), ESET не может отнести его к какой-либо известной группе APT. Поэтому мы отслеживаем его как отдельную организацию, которую мы назвали MirrorFace. В частности, MirrorFace и LODEINFO, ее собственная вредоносная программа, используемая исключительно против целей в Японии, по сообщениям, нацелены на СМИ, компании, связанные с обороной, аналитические центры, дипломатические организации и академические институты. Целью MirrorFace является шпионаж и эксфильтрация файлов, представляющих интерес.
ESET относит операцию LiberalFace к MirrorFace на основании этих показателей:
- Насколько известно, вредоносная программа LODEINFO используется исключительно MirrorFace.
- Цели операции LiberalFace совпадают с традиционными целями MirrorFace.
- Образец вредоносной программы LODEINFO второй стадии связался с C&C-сервером, который ESET отслеживает внутри инфраструктуры MirrorFace.
Одно из спирфишинговых писем, разосланных в рамках операции LiberalFace, выдавалось за официальное сообщение от PR-отдела конкретной японской политической партии, содержало запрос, связанный с выборами в Палату советников, и якобы было отправлено от имени известного политика. Все письма содержали вредоносное вложение, которое после выполнения разворачивало LODEINFO на скомпрометированной машине.
Кроме того, ESET обнаружили, что MirrorFace использовал ранее недокументированное вредоносное ПО, которое мы назвали MirrorStealer, для кражи учетных данных своей цели. Мы считаем, что это первый случай публичного описания данного вредоносного ПО.
Indicators of Compromise
IPv4
- 103.175.16.39
- 167.179.116.56
- 172.105.217.233
- 45.32.13.180
- 5.8.95.174
SHA1
- 0ab7bb3ff583e50fbf28b288e71d3bb57f9d1395
- a8d2be15085061b753fdebbdb08d301a034ce1d5
- db81c8719ddaae40c8d9b9ca103bbe77be4fce6c
- e888a552b00d810b5521002304d4f11bc249d8ed
- f4691ff3b3acd15653684f372285cac36c8d0aef