Аналитики ESET обнаружили новый стилер, который крадет данные японских политиков

Аналитики ESET обнаружили новый стилер, который крадет данные японских политиков

ПО было создано специально для атак на Японию, но обладает не всеми необходимыми функциями.

image

Группировка MirrorFace за несколько недель до выборов в Палату Советников Японии в июле 2022 года атаковала японских политиков, используя ранее незарегистрированный стилер MirrorStealer.

Согласно отчету ESET, хакеры развернули новый стилер MirrorStealer вместе с бэкдором LODEINFO, который связывался с C&C-сервером, принадлежащий группе APT10.

Ранее LODEINFO уже использовался в атаках против японских политиков и госслужащих, как сообщала Лаборатория Касперского. Злоумышленники выдавали себя за японское министерство, прикрепляя документ-приманку, который в фоновом режиме извлекал архив WinRAR. Архив содержал зашифрованную копию вредоносного ПО LODEINFO, вредоносный DLL-загрузчик и легитимную антивирусную программу (K7Security Suite)

Китайская APT-группа MirrorFace (APT10 и Cicada) 29 июня 2022 года начала рассылать своим целям фишинговые электронные письма, выдавая себя за PR-агентов политической партии получателя, с просьбой разместить прикрепленные видеофайлы в социальных сетях.

Пример фишингового сообщения

APT10 использовал LODEINFO для развертывания MirrorStealer ('31558_n.dll') на скомпрометированных системах. MirrorStealer нацелен на учетные данные, хранящиеся в браузерах и почтовых клиентах, включая «Becky!», популярный в Японии почтовый клиент. Это указывает на то, что MirrorStealer мог быть разработан специально для кампаний, ориентированных на Японию.

Все украденные учетные данные хранятся в текстовом файле в каталоге TEMP, а затем эксфильтруются бэкдором LODEINFO на C&C-сервер, поскольку MirrorStealer не способен красть данные самостоятельно.

LODEINFO также используется в качестве связующего моста между C&C-сервером и MirrorStealer для передачи команд. LODEINFO передает команды для загрузки MirrorStealer в память взломанной системы, внедряет его во вновь созданный процесс «cmd.exe» и запускает его.

Связь между LODEINFO и C&C

Киберпреступники APT10 были обнаружены потому, что они не удалили все следы своей активности на взломанных компьютерах и оставили текстовый файл MirrorStealer, содержащий собранные учетные данные.

Кроме того, аналитики ESET заметили, что хакеры в нескольких случаях отправляли команды LODEINFO с ошибками, что указывает на то, что иногда они «работают вручную».

Ищем темную материю и подписчиков!

Одно найти легче, чем другое. Спойлер: это не темная материя

Станьте частью научной Вселенной — подпишитесь