最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

黑客利用新的MirrorStealer恶意软件瞄准日本政客

网络安全 快米云 来源:快米云 105浏览

中国

抹黑中国

一个名为 MirrorFace 的黑客组织在 2022 年 7 月参议院选举之前的数周内一直以日本政客为目标,使用了一个名为“MirrorStealer”的先前未记录的凭据窃取程序。

该活动是由 ESET发现的,其分析师报告说,由于黑客所犯的操作错误留下了痕迹,他们可以拼凑证据。

黑客部署了新的信息窃取恶意软件以及该组织的签名后门 LODEINFO,后者与已知属于 APT10 基础设施的 C2 服务器通信。

卡巴斯基在2022 年 10 月的  一份报告中描述了针对日本知名目标的 LODEINFO 的广泛部署,并强调了改进自定义后门的持续发展。

鱼叉式网络钓鱼攻击

MirrorFace 黑客组织(APT10 和 Cicada)于 2022 年 6 月 29 日开始向他们的目标发送鱼叉式网络钓鱼电子邮件,假装是收件人政党的公关代理人,要求他们在社交媒体上发布附加的视频文件。

翻译后的网络钓鱼邮件示例
翻译的网络钓鱼邮件示例 (ESET)

在其他情况下,威胁行为者冒充日本政府部门,附上在后台提取 WinRAR 档案的诱饵文件。

该存档包含 LODEINFO 恶意软件的加密副本、恶意 DLL 加载程序和用于 DLL 搜索顺序劫持的无害应用程序 (K7Security Suite)。

这与卡巴斯基在其之前的报告中描述的隐形攻击链相同,它直接在内存中加载后门。

MirrorStealer 操作

APT10 使用 LODEINFO 在受感染的系统上部署 MirrorStealer (‘31558_n.dll’)。

MirrorStealer 的目标是存储在网络浏览器和电子邮件客户端中的凭据,包括在日本流行的电子邮件客户端“Becky!”。

这表明 MirrorStealer 可能是明确为 APT10 以日本为重点的行动而开发的。

所有被盗凭证都存储在 TEMP 目录下的一个 txt 文件中,然后等待 LODEINFO 将它们发送到 C2,因为 MirrorStealer 本身不支持数据泄露。

LODEINFO 还用作 C2 和 MirrorStealer 之间的连接桥梁,将命令传达给信息窃取器

APT10工具之间的通信
LODEINFO 与 C2 (ESET)之间的通信

ESET 的分析师观察到 LODEINFO 传达命令以在被破坏系统的内存上加载 MirrorStealer,将其注入新生成的 cmd.exe 进程并运行它。

此外,有迹象表明远程操作员试图使用 MirrorStealer 窃取浏览器 cookie,但又转而使用 LODEINFO 来执行此操作,因为新的信息窃取器不支持此功能。

留下痕迹

APT10 在这次活动中并不十分谨慎,未能删除其在被入侵计算机上的所有活动痕迹,并留下包含收集到的凭据的 MirrorStealer 文本文件。

此外,ESET 的分析师注意到,黑客在多个案例中向 LODEINFO 发出了拼写错误的命令,表明该操作的技术方面比 APT 组织预期的更加手动。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 黑客利用新的MirrorStealer恶意软件瞄准日本政客