Rabattilbud med flere licenser
Trusseldatabase Advanced Persistent Threat (APT) MirrorFace APT

MirrorFace APT

Med Mezo i Advanced Persistent Threat (APT), Malware
Oversæt til:
Dansk

Japans nationale politiagentur (NPA) og National Center of Incident Readiness and Strategy for Cybersecurity (NCSC) har anklaget en Kina-tilknyttet trusselsaktør kendt som MirrorFace for at orkestrere en langvarig cyberangrebskampagne. Siden 2019 har gruppen angiveligt målrettet organisationer, virksomheder og enkeltpersoner i hele Japan med det formål at stjæle information relateret til national sikkerhed og avanceret teknologi.

MirrorFace's links til APT10

MirrorFace også omtalt som Earth Kasha, menes at være en undergruppe inden for den velkendte APT10- trusselsaktør. Gruppen har systematisk angrebet japanske enheder ved at bruge sofistikerede værktøjer som ANEL, LODEINFO og NOOPDOOR (også kendt som HiddenFace) for at nå sine mål.

Spear-phishing og måludvidelse

Forskere har afsløret detaljer om en spear-phishing-kampagne, hvor MirrorFace målrettede enkeltpersoner og organisationer i Japan for at implementere ANEL og NOOPDOOR. I årenes løb er lignende operationer blevet observeret rettet mod enheder i Taiwan og Indien, hvilket viser koncernens bredere strategiske interesse.

Tre større angrebskampagner identificeret

Ifølge NPA og NCSC er MirrorFaces aktiviteter blevet klassificeret i tre store kampagner:

  • Kampagne A (december 2019 – juli 2023 ): Denne fase fokuserede på tænketanke, offentlige myndigheder, politikere og medieorganisationer. Angribere brugte spear-phishing-e-mails til at levere LODEINFO , NOOPDOOR og en tilpasset version af Lilith RAT kendt som LilimRAT.
  • Kampagne B (februar – oktober 2023) : I denne periode flyttede MirrorFace sit fokus til halvleder-, fremstillings-, kommunikations-, akademiske og rumfartssektorerne. Gruppen udnyttede kendte sårbarheder i internet-vendte enheder fra Array Networks, Citrix og Fortinet til at infiltrere netværk og implementere Cobalt Strike Beacon, LODEINFO og NOOPDOOR.
  • Kampagne C (Fra juni 2024): De seneste angreb har primært rettet sig mod den akademiske verden, tænketanke, politikere og medieorganisationer. Angriberne fortsætter med at bruge spear-phishing-e-mails, denne gang til at levere ANEL (også kendt som UPPERCUT).

Undvigelsesteknikker og skjult kommunikation

MirrorFace har brugt avancerede teknikker til at opretholde vedholdenhed og undgå detektion. En bemærkelsesværdig taktik involverer at bruge Visual Studio Code-fjerntunneler til at etablere hemmelige forbindelser, hvilket gør det muligt for trusselsaktører at omgå netværksforsvar og opretholde fjernkontrol over kompromitterede systemer.

Windows Sandbox til en stealth-udførelse

Efterforskere opdagede også, at angribere har udført truende nyttelaster i Windows Sandbox-miljøet. Denne tilgang tillader malwaren at fungere uden at blive opdaget af antivirussoftware eller Endpoint Detection and Response (EDR)-systemer. Desuden, når værtscomputeren er lukket ned eller genstartet, slettes alle spor af malwaren og efterlader ingen retsmedicinske beviser.

Fortsat trussel mod den nationale sikkerhed

Den vedvarende og udviklende taktik, som MirrorFace bruger, fremhæver de igangværende cybertrusler, som Japan står over for. Ved at målrette kritiske sektorer og anvende sofistikerede unddragelsesstrategier udgør gruppen fortsat en alvorlig udfordring for den nationale sikkerhed og teknologiske fremskridt. Myndigheder opfordrer indtrængende organisationer til at forblive på vagt over for spyd-phishing-forsøg og til at styrke deres cybersikkerhedsforsvar mod nye trusler.

Trending

Mest sete

Indlæser...