ヨーロッパに拠点を置くサイバーセキュリティ業界のグローバルリーダーであるESET(本社:スロバキア、以下 ESET)が追跡しているAPTグループ「MirrorFace」が、2022年7月の日本の参議院選挙までの数週間にわたってスピアフィッシングキャンペーンを実行していたことを発表しました。
- 2022年6月末、MirrorFaceは日本の政治団体を標的とした「LiberalFace作戦」キャンペーンを開始しました。
- MirrorFaceが主力としているバックドア「LODEINFO」が含まれるスピアフィッシングメールが標的に送信されました。
- LODEINFOは、別のマルウェアを配信し、標的となったユーザーの認証情報を窃取し、そのユーザーの文書やメールを盗み出すために使用されていました。
- これまで検出されたことのない認証情報窃取ツールがLiberalFace作戦で使用されました。ESETはこのツールを「MirrorStealer」と命名しました。
- MirrorFaceは中国語を使用するAPTグループで、日本に拠点とする企業や組織を標的にしています。
ESETがこのキャンペーンを調査したところ、日本の政治団体を標的にしており、ある政党の党員がこのキャンペーンの重要な標的になっていたことがわかりました。ESETは、このキャンペーンを「LiberalFace作戦」と命名しました。このキャンペーンでは、MirrorFaceが主力としているバックドア「LODEINFO」が含まれるスピアフィッシングメールが標的に送信されています。LODEINFOは別のマルウェアを配信し、標的となったユーザーの認証情報を窃取し、ユーザーの文書やメールを盗み出すために使用されていました。MirrorFaceは、中国語を使用するサイバー攻撃者であり、日本に拠点とする企業や組織を標的にしています。
このAPTグループは、日本のある政党の広報部門を装い、政党のPRをさらに強化し、参議院での勝利を勝ち取るために、メールに添付された動画を各自のソーシャルメディアから配信するように受信者に要請しています。さらに、このメールでは、ビデオを公開するための戦略についても明確に指示しています。このメールは、著名な政治家の代理で送信されたように偽装されていました。すべてのスピアフィッシングメッセージに悪意のある添付ファイルが含まれており、マシンが侵害されLODEINFOが展開されます。MirrorFaceは、2022年7月の参議院選挙前の2022年6月29日に攻撃を開始しています。
LODEINFOは、MirrorFaceが継続的に開発しているバックドアです。LODEINFOの機能には、スクリーンショットのキャプチャ、キーロギング、プロセスの強制終了、ファイルの外部への送信、ファイルの追加およびコマンドの実行などがあります。この攻撃では、過去に検出および文書化されていない認証情報窃取ツールが使用されており、ESETはこのツールを「MirrorStealer」と命名しました。MirrorStealerは通常、ブラウザやメールクライアントなど、さまざまなアプリケーションから認証情報を盗み取ります。
このキャンペーンの調査を担当したESETのリサーチャーであるDominik Breitenbacherは、次のように述べています。「LiberalFace作戦では、標的となるユーザーから重要なデータを窃取して送信するために、追加のマルウェアやツールを展開しており、MirrorFaceの詳細なTTP(戦術、技術、手順)を明らかにすることができました。MirrorFaceのオペレーターには不注意な点があり、攻撃の痕跡を残したり、さまざまなミスを犯したりしていることもわかりました。」
MirrorFaceは、日本を拠点とする企業や組織を標的にしている、中国語を使用するサイバー攻撃者です。この攻撃グループは、APT10との関係が疑われていますが、ESETは既知のAPTグループとの関係を特定できていません。そのため、このグループをMirrorFaceと命名し、個別のグループとして追跡しています。特に、MirrorFaceのみが使用している「LODEINFO」マルウェアは、日本国内の標的に限定して使用されており、メディア、防衛関連企業、シンクタンク、外交機関、学術機関などを標的としていることが報告されています。MirrorFaceは、諜報活動や同グループが関心を持っているファイルを窃取することを目的にしています。
APTグループMirrorFaceのLiberalFace作戦に関する技術的な情報については、ESETのブログ「APTグループ「MirrorFace」が日本の政治団体を標的に実行したLiberalFace作戦の詳細」をご確認ください。ぜひ「ESET Research」をツイッターでフォローして、最新情報をご確認ください。