MirrorFace APT
Japonská Národní policejní agentura (NPA) a Národní centrum pro připravenost a strategii pro kybernetickou bezpečnost (NCSC) obvinily aktéra hrozeb napojeného na Čínu známého jako MirrorFace z organizování dlouhodobé kampaně kybernetických útoků. Od roku 2019 se skupina údajně zaměřovala na organizace, podniky a jednotlivce po celém Japonsku s cílem ukrást informace související s národní bezpečností a pokročilou technologií.
Obsah
Odkazy MirrorFace na APT10
MirrorFace, označovaný také jako Earth Kasha, je považován za podskupinu v rámci známého aktéra hrozby APT10 . Skupina systematicky útočí na japonské subjekty a k dosažení svých cílů využívá sofistikované nástroje jako ANEL, LODEINFO a NOOPDOOR (také známý jako HiddenFace).
Spear-Phishing a rozšíření cíle
Výzkumníci odhalili podrobnosti o spear-phishingové kampani, ve které se MirrorFace zaměřila na jednotlivce a organizace v Japonsku, aby nasadili ANEL a NOOPDOOR. V průběhu let byly pozorovány podobné operace zaměřené na subjekty na Tchaj-wanu a v Indii, což dokazuje širší strategický zájem skupiny.
Byly identifikovány tři hlavní útočné kampaně
Podle NPA a NCSC byly aktivity MirrorFace rozděleny do tří hlavních kampaní:
- Kampaň A (prosinec 2019 – červenec 2023 ): Tato fáze se zaměřila na think-tanky, vládní agentury, politiky a mediální organizace. Útočníci použili spear-phishingové e-maily k doručení LODEINFO , NOOPDOOR a přizpůsobené verze Lilith RAT známé jako LilimRAT.
- Kampaň B (únor – říjen 2023) : Během tohoto období MirrorFace přesunula své zaměření na polovodičový, výrobní, komunikační, akademický a letecký sektor. Skupina využila známé zranitelnosti v zařízeních připojených k internetu od Array Networks, Citrix a Fortinet k infiltraci sítí a nasazení Cobalt Strike Beacon, LODEINFO a NOOPDOOR.
- Kampaň C (od června 2024): Nejnovější útoky se zaměřovaly především na akademickou obec, think-tanky, politiky a mediální organizace. Útočníci nadále používají e-maily typu spear-phishing, tentokrát k doručení ANEL (také známý jako UPPERCUT).
Únikové techniky a skrytá komunikace
MirrorFace používá pokročilé techniky k udržení stálosti a zamezení detekce. Pozoruhodná taktika zahrnuje použití vzdálených tunelů Visual Studio Code k navázání skrytých spojení, což umožňuje aktérům hrozeb obejít síťovou obranu a udržovat vzdálenou kontrolu nad ohroženými systémy.
Windows Sandbox pro tajné spuštění
Vyšetřovatelé také zjistili, že útočníci provádějí ohrožující užitečné zatížení v prostředí Windows Sandbox. Tento přístup umožňuje, aby malware fungoval, aniž by byl detekován antivirovým softwarem nebo systémy EDR (Endpoint Detection and Response). Kromě toho, jakmile je hostitelský počítač vypnut nebo restartován, všechny stopy malwaru jsou vymazány a nezanechají po sobě žádné forenzní důkazy.
Pokračující ohrožení národní bezpečnosti
Trvalá a vyvíjející se taktika, kterou MirrorFace používá, zdůrazňuje pokračující kybernetické hrozby, kterým Japonsko čelí. Tím, že se zaměřuje na kritická odvětví a využívá sofistikované únikové strategie, skupina nadále představuje vážnou výzvu pro národní bezpečnost a technologický pokrok. Úřady nabádají organizace, aby zůstaly obezřetné před pokusy o spear-phishing a posílily svou obranu kybernetické bezpečnosti proti vyvíjejícím se hrozbám.
