MirrorFace APT

اتهمت وكالة الشرطة الوطنية اليابانية والمركز الوطني للاستعداد للحوادث والاستراتيجية للأمن السيبراني مجموعة تهديد مرتبطة بالصين تُعرف باسم MirrorFace بتدبير حملة هجوم إلكتروني طويلة الأمد. منذ عام 2019، استهدفت المجموعة المنظمات والشركات والأفراد في جميع أنحاء اليابان، بهدف سرقة المعلومات المتعلقة بالأمن القومي والتكنولوجيا المتقدمة.

روابط MirrorFace إلى APT10

يُعتقد أن MirrorFace، التي يُشار إليها أيضًا باسم Earth Kasha، هي مجموعة فرعية ضمن مجموعة التهديد APT10 المعروفة. هاجمت المجموعة بشكل منهجي الكيانات اليابانية، مستخدمة أدوات متطورة مثل ANEL وLODEINFO وNOOPDOOR (المعروفة أيضًا باسم HiddenFace) لتحقيق أهدافها.

التصيد الاحتيالي وتوسيع الأهداف

كشف الباحثون عن تفاصيل حملة تصيد احتيالي استهدفت فيها مجموعة MirrorFace أفرادًا ومنظمات في اليابان لنشر ANEL وNOOPDOOR. وعلى مر السنين، لوحظت عمليات مماثلة تستهدف كيانات في تايوان والهند، مما يدل على المصلحة الاستراتيجية الأوسع للمجموعة.

تم تحديد ثلاث حملات هجومية كبرى

وفقًا لـ NPA و NCSC، تم تصنيف أنشطة MirrorFace إلى ثلاث حملات رئيسية:

• الحملة أ (ديسمبر 2019 - يوليو 2023 ): ركزت هذه المرحلة على مراكز الأبحاث والهيئات الحكومية والسياسيين والمؤسسات الإعلامية. استخدم المهاجمون رسائل البريد الإلكتروني الاحتيالية لتسليم LODEINFO وNOOPDOOR وإصدار مخصص من Lilith RAT المعروف باسم LilimRAT.
• الحملة ب (فبراير – أكتوبر 2023) : خلال هذه الفترة، حولت MirrorFace تركيزها إلى قطاعات أشباه الموصلات والتصنيع والاتصالات والقطاع الأكاديمي والطيران. استغلت المجموعة نقاط الضعف المعروفة في الأجهزة المتصلة بالإنترنت من Array Networks وCitrix وFortinet للتسلل إلى الشبكات ونشر Cobalt Strike Beacon وLODEINFO وNOOPDOOR.
• الحملة ج (منذ يونيو 2024): استهدفت الهجمات الأخيرة في المقام الأول المؤسسات الأكاديمية ومراكز الأبحاث والسياسيين والمؤسسات الإعلامية. ويواصل المهاجمون استخدام رسائل البريد الإلكتروني الاحتيالية، وهذه المرة لتقديم ANEL (المعروفة أيضًا باسم UPPERCUT).

أساليب التهرب والاتصالات السرية

لقد استخدمت MirrorFace تقنيات متقدمة للحفاظ على الاستمرارية وتجنب الاكتشاف. ومن بين التكتيكات البارزة استخدام أنفاق Visual Studio Code عن بعد لإنشاء اتصالات سرية، مما يتيح للجهات الفاعلة في مجال التهديد تجاوز دفاعات الشبكة والحفاظ على التحكم عن بعد في الأنظمة المخترقة.

Windows Sandbox لتنفيذ عمليات خفية

كما اكتشف المحققون أن المهاجمين كانوا ينفذون حمولات تهديدية داخل بيئة Windows Sandbox. ويسمح هذا النهج للبرامج الضارة بالعمل دون أن يتم اكتشافها بواسطة برامج مكافحة الفيروسات أو أنظمة Endpoint Detection and Response (EDR). وعلاوة على ذلك، بمجرد إيقاف تشغيل الكمبيوتر المضيف أو إعادة تشغيله، يتم محو جميع آثار البرامج الضارة، دون ترك أي دليل جنائي خلفه.

التهديد المستمر للأمن القومي

تسلط التكتيكات المستمرة والمتطورة التي تستخدمها مجموعة MirrorFace الضوء على التهديدات السيبرانية المستمرة التي تواجه اليابان. من خلال استهداف القطاعات الحيوية واستخدام استراتيجيات التهرب المتطورة، تواصل المجموعة تشكيل تحدي خطير للأمن القومي والتقدم التكنولوجي. تحث السلطات المنظمات على البقاء يقظة ضد محاولات التصيد الاحتيالي وتعزيز دفاعاتها السيبرانية ضد التهديدات المتطورة.