抹黑中国
一个名为 MirrorFace 的黑客组织在 2022 年 7 月参议院选举之前的数周内一直以日本政客为目标,使用了一个名为“MirrorStealer”的先前未记录的凭据窃取程序。
该活动是由 ESET发现的,其分析师报告说,由于黑客所犯的操作错误留下了痕迹,他们可以拼凑证据。
黑客部署了新的信息窃取恶意软件以及该组织的签名后门 LODEINFO,后者与已知属于 APT10 基础设施的 C2 服务器通信。
卡巴斯基在2022 年 10 月的 一份报告中描述了针对日本知名目标的 LODEINFO 的广泛部署,并强调了改进自定义后门的持续发展。
鱼叉式网络钓鱼攻击
MirrorFace 黑客组织(APT10 和 Cicada)于 2022 年 6 月 29 日开始向他们的目标发送鱼叉式网络钓鱼电子邮件,假装是收件人政党的公关代理人,要求他们在社交媒体上发布附加的视频文件。

在其他情况下,威胁行为者冒充日本政府部门,附上在后台提取 WinRAR 档案的诱饵文件。
该存档包含 LODEINFO 恶意软件的加密副本、恶意 DLL 加载程序和用于 DLL 搜索顺序劫持的无害应用程序 (K7Security Suite)。
这与卡巴斯基在其之前的报告中描述的隐形攻击链相同,它直接在内存中加载后门。
MirrorStealer 操作
APT10 使用 LODEINFO 在受感染的系统上部署 MirrorStealer (‘31558_n.dll’)。
MirrorStealer 的目标是存储在网络浏览器和电子邮件客户端中的凭据,包括在日本流行的电子邮件客户端“Becky!”。
这表明 MirrorStealer 可能是明确为 APT10 以日本为重点的行动而开发的。
所有被盗凭证都存储在 TEMP 目录下的一个 txt 文件中,然后等待 LODEINFO 将它们发送到 C2,因为 MirrorStealer 本身不支持数据泄露。
LODEINFO 还用作 C2 和 MirrorStealer 之间的连接桥梁,将命令传达给信息窃取器

ESET 的分析师观察到 LODEINFO 传达命令以在被破坏系统的内存上加载 MirrorStealer,将其注入新生成的 cmd.exe 进程并运行它。
此外,有迹象表明远程操作员试图使用 MirrorStealer 窃取浏览器 cookie,但又转而使用 LODEINFO 来执行此操作,因为新的信息窃取器不支持此功能。
留下痕迹
APT10 在这次活动中并不十分谨慎,未能删除其在被入侵计算机上的所有活动痕迹,并留下包含收集到的凭据的 MirrorStealer 文本文件。
此外,ESET 的分析师注意到,黑客在多个案例中向 LODEINFO 发出了拼写错误的命令,表明该操作的技术方面比 APT 组织预期的更加手动。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 黑客利用新的MirrorStealer恶意软件瞄准日本政客