• Добро пожаловать в Пиратскую Бухту! Чтобы получить полный доступ к форуму пройдите регистрацию!
  • Гость, стой!

    В бухте очень не любят флуд и сообщения без смысловой нагрузки!
    Чтобы не получить бан, изучи правила форума!

    Если хотите поблагодарить автора темы, или оценить реплику пользователя, для этого есть кнопки: "Like" и "Дать на чай".

Новости Аналитики ESET обнаружили новый стилер, который крадет данные японских политиков

Пригоршня

Штурман
Мудрец
Регистрация
26.10.16
Сообщения
2,233
Онлайн
38д 2ч 22м
Сделки
251
Нарушения
0 / 0
Montserrat Semi-Bold.png

Группировка MirrorFace за несколько недель до выборов в Палату Советников Японии в июле 2022 года атаковала японских политиков, используя ранее незарегистрированный стилер MirrorStealer.

Согласно отчету ESET, хакеры развернули новый стилер MirrorStealer вместе с бэкдором LODEINFO, который связывался с C&C-сервером, принадлежащий группе APT10.

Ранее LODEINFO уже использовался в атаках против японских политиков и госслужащих, как сообщала Лаборатория Касперского. Злоумышленники выдавали себя за японское министерство, прикрепляя документ-приманку, который в фоновом режиме извлекал архив WinRAR. Архив содержал зашифрованную копию вредоносного ПО LODEINFO, вредоносный DLL-загрузчик и легитимную антивирусную программу (K7Security Suite)

Китайская APT-группа MirrorFace (APT10 и Cicada) 29 июня 2022 года начала рассылать своим целям фишинговые электронные письма, выдавая себя за PR-агентов политической партии получателя, с просьбой разместить прикрепленные видеофайлы в социальных сетях.

APT10 использовал LODEINFO для развертывания MirrorStealer ('31558_n.dll') на скомпрометированных системах. MirrorStealer нацелен на учетные данные, хранящиеся в браузерах и почтовых клиентах, включая «Becky!», популярный в Японии почтовый клиент. Это указывает на то, что MirrorStealer мог быть разработан специально для кампаний, ориентированных на Японию.

Все украденные учетные данные хранятся в текстовом файле в каталоге TEMP, а затем эксфильтруются бэкдором LODEINFO на C&C-сервер, поскольку MirrorStealer не способен красть данные самостоятельно.

LODEINFO также используется в качестве связующего моста между C&C-сервером и MirrorStealer для передачи команд. LODEINFO передает команды для загрузки MirrorStealer в память взломанной системы, внедряет его во вновь созданный процесс «cmd.exe» и запускает его.

Киберпреступники APT10 были обнаружены потому, что они не удалили все следы своей активности на взломанных компьютерах и оставили текстовый файл MirrorStealer, содержащий собранные учетные данные.

Кроме того, аналитики ESET заметили, что хакеры в нескольких случаях отправляли команды LODEINFO с ошибками, что указывает на то, что иногда они «работают вручную».
 
Сверху