По данным японского центра координации компьютерного реагирования (JPCERT), группа хакеров MirrorFace с 2022 года нацеливается на медиа, политические организации и академические учреждения Японии. А в последнее время злоумышленники также начали атаковать производителей и исследовательские институты. Атаки развиваются от целенаправленных фишинговых рассылок до эксплуатации уязвимостей в продуктах Array AG и FortiGate.
Хакеры используют вредоносное программное обеспечение NOOPDOOR и различные инструменты для кражи данных после проникновения в сеть. NOOPDOOR представляет собой шелл-код, который внедряется в легитимные приложения двумя методами.
Первый метод подразумевает запуск NOOPDOOR с помощью XML-файла, содержащего замаскированный код, который компилируется и выполняется с использованием MSBuild. Этот способ сохраняет зашифрованные данные в определённых регистрах для последующего использования.
Второй метод использует DLL-файл для подгрузки NOOPLDR в легитимные приложения, скрывая свои действия через сложные методы обфускации кода. Оба типа извлекают зашифрованные данные из файлов или реестра, расшифровывая их с помощью AES-CBC на основе системной информации.
Образцы NOOPLDR различаются по формату (XML и DLL) и способам внедрения в процессы Windows. XML-образцы в основном используют легитимные процессы для выполнения и хранят зашифрованные полезные нагрузки в реестре. DLL-образцы показывают более сложное поведение, включая установку служб и скрытие в реестре.
Некоторые образцы используют процесс “wuauclt.exe” для инъекций, другие полагаются на “lsass.exe”, “svchost.exe” и “vdsldr.exe”. DLL-варианты также применяют обфускацию Control Flow Flattening (CFF), усложняя анализ. Для деобфускации JPCERT/CC предлагает Python-скрипт на GitHub.
NOOPDOOR может общаться по порту 443 с использованием алгоритма генерации доменов (DGA) и получать команды через порт 47000. Помимо стандартных действий, таких как передача и выполнение файлов, NOOPDOOR может манипулировать временными метками файлов, что затрудняет судебные расследования.
Хакеры стремятся получить сетевые учётные данные Windows, анализируя дампы памяти процессов, базу данных NTDS.dit контроллера домена и чувствительные разделы реестра (SYSTEM, SAM, SECURITY).
После получения администраторских привилегий в сети Windows, хакеры распространяют вредоносное ПО через SMB и запланированные задачи, нацеливаясь на файловые серверы, AD и серверы управления антивирусом.
После проникновения, злоумышленники проводят разведку, используя команды auditpol, bitsadmin и dfsutil. Они извлекают данные с помощью WinRAR и SFTP, после предварительного сканирования файлов с командами dir /s и атаки на OneDrive, Teams, IIS и другие сервисы.
Изощрённость хакерских методов MirrorFace показывает, что кибербезопасность – это не статичное состояние, а динамичный процесс. Организациям недостаточно полагаться на существующие системы защиты; необходимо постоянно анализировать новые угрозы и адаптировать стратегии безопасности, чтобы оставаться на шаг впереди злоумышленников.