黑客利用新的MirrorStealer恶意软件瞄准日本政客-VPS资讯_海外云服务器资讯_海外服务器资讯

抹黑中国

一个名为 MirrorFace 的黑客组织在 2022 年 7 月参议院选举之前的数周内一直以日本政客为目标，使用了一个名为“MirrorStealer”的先前未记录的凭据窃取程序。

该活动是由 ESET发现的，其分析师报告说，由于黑客所犯的操作错误留下了痕迹，他们可以拼凑证据。

黑客部署了新的信息窃取恶意软件以及该组织的签名后门 LODEINFO，后者与已知属于 APT10 基础设施的 C2 服务器通信。

卡巴斯基在2022 年 10 月的一份报告中描述了针对日本知名目标的 LODEINFO 的广泛部署，并强调了改进自定义后门的持续发展。

鱼叉式网络钓鱼攻击

MirrorFace 黑客组织（APT10 和 Cicada）于 2022 年 6 月 29 日开始向他们的目标发送鱼叉式网络钓鱼电子邮件，假装是收件人政党的公关代理人，要求他们在社交媒体上发布附加的视频文件。

在其他情况下，威胁行为者冒充日本政府部门，附上在后台提取 WinRAR 档案的诱饵文件。

该存档包含 LODEINFO 恶意软件的加密副本、恶意 DLL 加载程序和用于 DLL 搜索顺序劫持的无害应用程序 (K7Security Suite)。

这与卡巴斯基在其之前的报告中描述的隐形攻击链相同，它直接在内存中加载后门。

APT10 使用 LODEINFO 在受感染的系统上部署 MirrorStealer (‘31558_n.dll’)。

MirrorStealer 的目标是存储在网络浏览器和电子邮件客户端中的凭据，包括在日本流行的电子邮件客户端“Becky!”。

这表明 MirrorStealer 可能是明确为 APT10 以日本为重点的行动而开发的。

所有被盗凭证都存储在 TEMP 目录下的一个 txt 文件中，然后等待 LODEINFO 将它们发送到 C2，因为 MirrorStealer 本身不支持数据泄露。

LODEINFO 还用作 C2 和 MirrorStealer 之间的连接桥梁，将命令传达给信息窃取器

ESET 的分析师观察到 LODEINFO 传达命令以在被破坏系统的内存上加载 MirrorStealer，将其注入新生成的 cmd.exe 进程并运行它。

此外，有迹象表明远程操作员试图使用 MirrorStealer 窃取浏览器 cookie，但又转而使用 LODEINFO 来执行此操作，因为新的信息窃取器不支持此功能。

APT10 在这次活动中并不十分谨慎，未能删除其在被入侵计算机上的所有活动痕迹，并留下包含收集到的凭据的 MirrorStealer 文本文件。

此外，ESET 的分析师注意到，黑客在多个案例中向 LODEINFO 发出了拼写错误的命令，表明该操作的技术方面比 APT 组织预期的更加手动。