ПО было создано специально для атак на Японию, но обладает не всеми необходимыми функциями.
Группировка MirrorFace за несколько недель до выборов в Палату Советников Японии в июле 2022 года атаковала японских политиков, используя ранее незарегистрированный стилер MirrorStealer.
Согласно отчету ESET, хакеры развернули новый стилер MirrorStealer вместе с бэкдором LODEINFO, который связывался с C&C-сервером, принадлежащий группе APT10.
Ранее LODEINFO уже использовался в атаках против японских политиков и госслужащих, как сообщала Лаборатория Касперского. Злоумышленники выдавали себя за японское министерство, прикрепляя документ-приманку, который в фоновом режиме извлекал архив WinRAR. Архив содержал зашифрованную копию вредоносного ПО LODEINFO, вредоносный DLL-загрузчик и легитимную антивирусную программу (K7Security Suite)
Китайская APT-группа MirrorFace (APT10 и Cicada) 29 июня 2022 года начала рассылать своим целям фишинговые электронные письма, выдавая себя за PR-агентов политической партии получателя, с просьбой разместить прикрепленные видеофайлы в социальных сетях.
Пример фишингового сообщения
APT10 использовал LODEINFO для развертывания MirrorStealer ('31558_n.dll') на скомпрометированных системах. MirrorStealer нацелен на учетные данные, хранящиеся в браузерах и почтовых клиентах, включая «Becky!», популярный в Японии почтовый клиент. Это указывает на то, что MirrorStealer мог быть разработан специально для кампаний, ориентированных на Японию.
Все украденные учетные данные хранятся в текстовом файле в каталоге TEMP, а затем эксфильтруются бэкдором LODEINFO на C&C-сервер, поскольку MirrorStealer не способен красть данные самостоятельно.
LODEINFO также используется в качестве связующего моста между C&C-сервером и MirrorStealer для передачи команд. LODEINFO передает команды для загрузки MirrorStealer в память взломанной системы, внедряет его во вновь созданный процесс «cmd.exe» и запускает его.
Связь между LODEINFO и C&C
Киберпреступники APT10 были обнаружены потому, что они не удалили все следы своей активности на взломанных компьютерах и оставили текстовый файл MirrorStealer, содержащий собранные учетные данные.
Кроме того, аналитики ESET заметили, что хакеры в нескольких случаях отправляли команды LODEINFO с ошибками, что указывает на то, что иногда они «работают вручную».
Одно найти легче, чем другое. Спойлер: это не темная материя