Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Amenaça persistent avançada (APT) MirrorFace APT

MirrorFace APT

El Mezo el Amenaça persistent avançada (APT), Programari maliciós
Traduir a:
Català

L'Agència Nacional de Policia del Japó (NPA) i el Centre Nacional de Preparació per a Incidents i Estratègia per a la Ciberseguretat (NCSC) han acusat un actor d'amenaces vinculat a la Xina conegut com MirrorFace d'orquestrar una campanya d'atac cibernètic de llarga durada. Des del 2019, suposadament, el grup s'ha dirigit a organitzacions, empreses i individus de tot el Japó, amb l'objectiu de robar informació relacionada amb la seguretat nacional i la tecnologia avançada.

Enllaços de MirrorFace a APT10

MirrorFace també conegut com Earth Kasha, es creu que és un subgrup dins del conegut actor d'amenaça APT10 . El grup ha atacat sistemàticament entitats japoneses, utilitzant eines sofisticades com ANEL, LODEINFO i NOOPDOOR (també coneguda com HiddenFace) per assolir els seus objectius.

Spear-Phishing i Expansió d'objectius

Els investigadors han descobert detalls d'una campanya de pesca amb lanza en què MirrorFace es va dirigir a persones i organitzacions del Japó per desplegar ANEL i NOOPDOOR. Al llarg dels anys, s'han observat operacions similars dirigides a entitats de Taiwan i l'Índia, demostrant l'interès estratègic més ampli del grup.

S'han identificat tres campanyes d'atac importants

Segons NPA i NCSC, les activitats de MirrorFace s'han classificat en tres campanyes principals:

  • Campanya A (desembre de 2019 - juliol de 2023 ): aquesta fase es va centrar en grups de reflexió, agències governamentals, polítics i organitzacions de mitjans. Els atacants van utilitzar correus electrònics de pesca amb lanza per lliurar LODEINFO , NOOPDOOR i una versió personalitzada de Lilith RAT coneguda com LilimRAT.
  • Campanya B (febrer – octubre de 2023) : durant aquest període, MirrorFace va canviar el seu enfocament als sectors de semiconductors, fabricació, comunicacions, acadèmic i aeroespacial. El grup va explotar vulnerabilitats conegudes en dispositius orientats a Internet d'Array Networks, Citrix i Fortinet per infiltrar-se a les xarxes i desplegar Cobalt Strike Beacon, LODEINFO i NOOPDOOR.
  • Campanya C (a partir del juny de 2024): els atacs més recents han tingut com a objectiu principalment el món acadèmic, els grups de reflexió, els polítics i les organitzacions de mitjans. Els atacants continuen utilitzant correus electrònics de pesca de pesca, aquesta vegada per lliurar ANEL (també conegut com UPPERCUT).

Tècniques d'evasió i comunicacions encobertes

MirrorFace ha emprat tècniques avançades per mantenir la persistència i evitar la detecció. Una tàctica notable consisteix a utilitzar túnels remots de Visual Studio Code per establir connexions encobertes, permetent als actors d'amenaça evitar les defenses de la xarxa i mantenir el control remot sobre sistemes compromesos.

Sandbox de Windows per a una execució furtiva

Els investigadors també van descobrir que els atacants havien estat executant càrregues útils amenaçadores dins de l'entorn de Windows Sandbox. Aquest enfocament permet que el programari maliciós funcioni sense ser detectat pel programari antivirus o els sistemes de detecció i resposta de punt final (EDR). A més, un cop s'apaga o es reinicia l'ordinador amfitrió, s'esborren tots els rastres del programari maliciós, sense deixar cap evidència forense.

Amenaça permanent a la seguretat nacional

Les tàctiques persistents i en evolució utilitzades per MirrorFace destaquen les amenaces cibernètiques que s'enfronten al Japó. En dirigir-se a sectors crítics i emprar estratègies d'evasió sofisticades, el grup continua suposant un seriós repte per a la seguretat nacional i els avenços tecnològics. Les autoritats demanen a les organitzacions que es mantinguin vigilants davant els intents de pesca amb lanza i que enforteixin les seves defenses de ciberseguretat davant les amenaces en evolució.

Tendència

Més vist

Carregant...