駭客利用新惡意軟體MirrorStealer對日本政客進行攻擊

2022年7月日本參議院選舉前,駭客組織MirrorFace使用惡意軟體MirrorStealer竊取日本政客之憑證。駭客於入侵後植入惡意軟體與後門程式LODEINFO,該後門程式與屬於APT10之C2伺服器進行通訊。

駭客組織MirrorFace(亦稱為APT10或Cicada)於2022年6月29日向攻擊目標發送魚叉式網路釣魚郵件,假冒為受駭者所在政黨之公關人員,要求收件者於社群媒體上發布附檔之影片。該檔案為壓縮檔,解壓縮後檔案包含加密之LODEINFO後門程式、惡意DLL載入程式及有漏洞之應用程式。執行有漏洞之應用程式後即載入惡意DLL檔,最後惡意DLL檔解密並執行LODEINFO後門程式。

MirrorStealer之目標為竊取存儲於瀏覽器與電子郵件應用程式中之憑證,包含日本流行之電子郵件應用程式Becky!。所有被竊之憑證皆儲存於TEMP目錄底下之txt檔案,之後後門程式LODEINFO會自動將檔案傳至C2伺服器。

ESET公司資安人員發現,駭客於攻擊時意外留下於受駭主機之活動軌跡,包含惡意軟體MirrorStealer與收集憑證之txt檔,表示駭客沒有徹底檢查檔案是否被刪除。

MirrorFace駭客組織持續針對日本特定政黨之成員,試圖影響即將舉行之參議院選舉,需提防該駭客組織針對其他國家之政客進行攻擊。
 

Reference

https://www.bleepingcomputer.com/news/security/hackers-target-japanese-politicians-with-new-mirrorstealer-malware/
https://www.welivesecurity.com/2022/12/14/unmasking-mirrorface-operation-liberalface-targeting-japanese-political-entities/