MirrorFace APT
Националната полицейска агенция на Япония (NPA) и Националният център за готовност за инциденти и стратегия за киберсигурност (NCSC) обвиниха свързан с Китай заплаха, известен като MirrorFace, в организирането на дългогодишна кампания за кибератаки. Твърди се, че от 2019 г. насам групата е насочена към организации, фирми и лица в цяла Япония, целяйки да открадне информация, свързана с националната сигурност и напредналите технологии.
Съдържание
Връзки на MirrorFace към APT10
Смята се, че MirrorFace, наричана още Earth Kasha, е подгрупа в рамките на добре познатия заплаха APT10 . Групата систематично атакува японски субекти, използвайки сложни инструменти като ANEL, LODEINFO и NOOPDOOR (известен също като HiddenFace), за да постигне целите си.
Фишинг и целево разширяване
Изследователите са разкрили подробности за фишинг кампания, в която MirrorFace е насочена към лица и организации в Япония за внедряване на ANEL и NOOPDOOR. През годините са наблюдавани подобни операции, насочени към организации в Тайван и Индия, което показва по-широкия стратегически интерес на групата.
Идентифицирани са три големи кампании за атака
Според NPA и NCSC дейностите на MirrorFace са класифицирани в три основни кампании:
- Кампания A (декември 2019 г. – юли 2023 г. ): Тази фаза се фокусира върху мозъчни тръстове, правителствени агенции, политици и медийни организации. Нападателите са използвали имейли за фишинг, за да доставят LODEINFO , NOOPDOOR и персонализирана версия на Lilith RAT , известна като LilimRAT.
- Кампания B (февруари – октомври 2023 г.) : През този период MirrorFace измести фокуса си към полупроводниковия, производствения, комуникационния, академичния и космическия сектор. Групата се възползва от известни уязвимости в устройства с интернет от Array Networks, Citrix и Fortinet, за да проникне в мрежи и да разположи Cobalt Strike Beacon, LODEINFO и NOOPDOOR.
- Кампания C (от юни 2024 г.): Последните атаки са насочени предимно към академичните среди, мозъчни тръстове, политици и медийни организации. Нападателите продължават да използват фишинг имейли, този път за да доставят ANEL (известен също като UPPERCUT).
Техники за укриване и тайни комуникации
MirrorFace използва усъвършенствани техники за поддържане на устойчивост и избягване на откриване. Една забележителна тактика включва използването на отдалечени тунели на Visual Studio Code за установяване на скрити връзки, което позволява на участниците в заплахата да заобиколят защитата на мрежата и да поддържат дистанционен контрол върху компрометирани системи.
Windows Sandbox за скрито изпълнение
Разследващите също така откриха, че нападателите са изпълнявали заплашителни полезни натоварвания в средата на Windows Sandbox. Този подход позволява на злонамерения софтуер да работи, без да бъде открит от антивирусен софтуер или системи за откриване и реагиране на крайна точка (EDR). Освен това, след като хост компютърът бъде изключен или рестартиран, всички следи от зловреден софтуер се изтриват, без да остават съдебни доказателства.
Продължаваща заплаха за националната сигурност
Постоянните и развиващи се тактики, използвани от MirrorFace, подчертават продължаващите кибер заплахи, пред които е изправена Япония. Като се насочва към критични сектори и използва сложни стратегии за укриване, групата продължава да представлява сериозно предизвикателство за националната сигурност и технологичния напредък. Властите призовават организациите да останат бдителни срещу опитите за фишинг и да засилят защитите си за киберсигурност срещу развиващите се заплахи.
