Аналитики ESET обнаружили новый стилер, который крадет данные японских политиков

Группировка MirrorFace за несколько недель до выборов в Палату Советников Японии в июле 2022 года атаковала японских политиков, используя ранее незарегистрированный стилер MirrorStealer.

Согласно отчету ESET, хакеры развернули новый стилер MirrorStealer вместе с бэкдором LODEINFO, который связывался с C&C-сервером, принадлежащий группе APT10.

Ранее LODEINFO уже использовался в атаках против японских политиков и госслужащих, как сообщала Лаборатория Касперского. Злоумышленники выдавали себя за японское министерство, прикрепляя документ-приманку, который в фоновом режиме извлекал архив WinRAR. Архив содержал зашифрованную копию вредоносного ПО LODEINFO, вредоносный DLL-загрузчик и легитимную антивирусную программу (K7Security Suite)

Китайская APT-группа MirrorFace (APT10 и Cicada) 29 июня 2022 года начала рассылать своим целям фишинговые электронные письма, выдавая себя за PR-агентов политической партии получателя, с просьбой разместить прикрепленные видеофайлы в социальных сетях.

Пример фишингового сообщения

APT10 использовал LODEINFO для развертывания MirrorStealer ('31558_n.dll') на скомпрометированных системах. MirrorStealer нацелен на учетные данные, хранящиеся в браузерах и почтовых клиентах, включая «Becky!», популярный в Японии почтовый клиент. Это указывает на то, что MirrorStealer мог быть разработан специально для кампаний, ориентированных на Японию.

Все украденные учетные данные хранятся в текстовом файле в каталоге TEMP, а затем эксфильтруются бэкдором LODEINFO на C&C-сервер, поскольку MirrorStealer не способен красть данные самостоятельно.

LODEINFO также используется в качестве связующего моста между C&C-сервером и MirrorStealer для передачи команд. LODEINFO передает команды для загрузки MirrorStealer в память взломанной системы, внедряет его во вновь созданный процесс «cmd.exe» и запускает его.

Связь между LODEINFO и C&C

Киберпреступники APT10 были обнаружены потому, что они не удалили все следы своей активности на взломанных компьютерах и оставили текстовый файл MirrorStealer, содержащий собранные учетные данные.

Кроме того, аналитики ESET заметили, что хакеры в нескольких случаях отправляли команды LODEINFO с ошибками, что указывает на то, что иногда они «работают вручную».