- 9,536
- 18
- 8 Ноя 2022
ПО было создано специально для атак на Японию, но обладает не всеми необходимыми функциями.
Группировка MirrorFace за несколько недель до выборов в Палату Советников Японии в июле 2022 года атаковала японских политиков, используя ранее незарегистрированный стилер Для просмотра ссылки Войди
Согласно Для просмотра ссылки Войди
Ранее LODEINFO уже использовался в атаках против японских политиков и госслужащих, как Для просмотра ссылки Войди
Китайская APT-группа MirrorFace (APT10 и Cicada) 29 июня 2022 года начала рассылать своим целям фишинговые электронные письма, выдавая себя за PR-агентов политической партии получателя, с просьбой разместить прикрепленные видеофайлы в социальных сетях.
Пример фишингового сообщения APT10 использовал LODEINFO для развертывания MirrorStealer ('31558_n.dll') на скомпрометированных системах. MirrorStealer нацелен на учетные данные, хранящиеся в браузерах и почтовых клиентах, включая «Becky!», популярный в Японии почтовый клиент. Это указывает на то, что MirrorStealer мог быть разработан специально для кампаний, ориентированных на Японию.
Все украденные учетные данные хранятся в текстовом файле в каталоге TEMP, а затем эксфильтруются бэкдором LODEINFO на C&C-сервер, поскольку MirrorStealer не способен красть данные самостоятельно.
LODEINFO также используется в качестве связующего моста между C&C-сервером и MirrorStealer для передачи команд. LODEINFO передает команды для загрузки MirrorStealer в память взломанной системы, внедряет его во вновь созданный процесс «cmd.exe» и запускает его.
Связь между LODEINFO и C&C Киберпреступники APT10 были обнаружены потому, что они не удалили все следы своей активности на взломанных компьютерах и оставили текстовый файл MirrorStealer, содержащий собранные учетные данные.
Кроме того, аналитики ESET заметили, что хакеры в нескольких случаях отправляли команды LODEINFO с ошибками, что указывает на то, что иногда они «работают вручную».
- Источник новости
- https://www.securitylab.ru/news/535279.php
