Researchers Uncover MirrorFace Cyber Attacks Targeting Japanese Political Entities
2022/12/15 TheHackerNews — MirrorFace というコードネームで呼ばれる、中国語圏の APT (Advanced Persistent Threat) グループが、日本の政治団体を標的としたスピアフィッシング・キャンペーンに関与していることが判明した。このキャンペーンは、ESET により Operation LiberalFace と名付けられ、LODEINFOと呼ばれるインプラントとMirrorStealerと呼ばれる未知のインフォ・スティーラーの配信を目的とし、日本の無名政党のメンバーにフォーカスするものである。
スロバキアのサイバー・セキュリティ企業である ESET によると、2022年7月10日に行われた日本の参議院選挙の1週間強前に、このキャンペーンは開始されたとのことだ。
ESET の研究者である Dominik Breitenbacher は、12月14日 (水) に発表した技術報告書で、「LODEINFO は、追加のマルウェアを配信し、被害者の認証情報を流出させることで、被害者の文書や電子メールを盗むために使用されている」と述べている。
MirrorFace は、APT10 (別名 Bronze Riverside/Cicada/Earth Tengshe/Stone Panda/Potassium) として追跡されている他の脅威アクターと重複しており、日本に拠点を置く企業や組織を攻撃してきた歴史があると言われている。
現実に、2022年11月に Kaspersky が発表した2つのレポートでは、日本国内のメディア/外交/政府/公共機関/シンクタンクなどを標的とした、LODEINFO 感染と Stone Panda の関連性が指摘されている。
しかし ESET は、既知の APT グループと、今回の攻撃を結びつける証拠は見つかっていないとし、また、独立したエンティティとして追跡していると述べている。そして LODEINFO については、MirrorFace が独占的に使用するフラグシップ・バックドアであると説明している。
2022年6月29日に送信されたスピアフィッシング・メールは、ある政党の広報部門を装うものであり、受信者のソーシャルメディアで動画を共有し、選挙での勝利を確保するよう促していた。
しかし、この動画は自己解凍型の WinRAR アーカイブであり、受信者のマシンを感染させて LODEINFO を展開し、スクリーンショット撮影/キーストローク記録/プロセス停止/ファイル流出などに加えて、追加のファイルやコマンドの実行を可能にするよう設計されていた。
また、日本で使用されている Web ブラウザや Becky! などのメールクライアントから、パスワードを抜き取るために用いられる、MirrorStealer インフォ・スティーラーも配信されていた。
Breitenbacher は、「MirrorStealer は収集した認証情報を %temp%31558.txt に保存するが、盗んだデータを流出させる機能を持たないため、オペレーターは LODEINFO を用いて認証情報を流出させた」と説明している。
この攻撃では、ポータブルなバイナリとシェルコードを実行する機能を備えた、第2段階の LODEINFO マルウェアも使用されている。
ESET は、「MirrorFace は、日本国内の高価値の標的を狙い続けている。LiberalFace オペレーションでは、参議院選挙を目前に控えた政治団体を特にターゲットにしていた」と述べている。
2022年10月31日にも、「中国 APT10 の標的は日本の政府機関など:K7Security を悪用する LODEINFO マルウェアとは?」という記事をポストしていますが、そこでは Kaspersky のレポートがベースとなっていました。また、APT10 についてですが、2月22日の「中国人ハッカーが台湾に対してサプライチェーン攻撃:主な標的は金融機関」や、8月4日の「台湾政府に DDoS 攻撃:ペロシ下院議長の訪問中に総統府 Web サイトなどがダウン」にも登場してますので、アジアを狙う中国の APT という見方が妥当なのでしょう。
IoT OT Security News 
You must be logged in to post a comment.