MirrorFace APT
Η Εθνική Αστυνομική Υπηρεσία της Ιαπωνίας (NPA) και το Εθνικό Κέντρο Ετοιμότητας Συμβάντων και Στρατηγικής για την Κυβερνοασφάλεια (NCSC) κατηγόρησαν έναν παράγοντα απειλών που συνδέεται με την Κίνα, γνωστό ως MirrorFace, ότι ενορχηστρώνει μια μακροχρόνια εκστρατεία κυβερνοεπιθέσεων. Από το 2019, η ομάδα φέρεται να έχει στοχεύσει οργανισμούς, επιχειρήσεις και άτομα σε όλη την Ιαπωνία, με στόχο την κλοπή πληροφοριών που σχετίζονται με την εθνική ασφάλεια και την προηγμένη τεχνολογία.
Πίνακας περιεχομένων
Οι σύνδεσμοι του MirrorFace με το APT10
Το MirrorFace που αναφέρεται επίσης ως Earth Kasha, πιστεύεται ότι είναι μια υποομάδα εντός του γνωστού παράγοντα απειλών APT10 . Η ομάδα έχει επιτεθεί συστηματικά σε ιαπωνικές οντότητες, χρησιμοποιώντας εξελιγμένα εργαλεία όπως τα ANEL, LODEINFO και NOOPDOOR (γνωστά και ως HiddenFace) για να επιτύχει τους στόχους της.
Spear-phishing και επέκταση στόχου
Οι ερευνητές αποκάλυψαν λεπτομέρειες μιας εκστρατείας spear-phishing στην οποία η MirrorFace στόχευε άτομα και οργανισμούς στην Ιαπωνία για να αναπτύξουν τους ANEL και NOOPDOOR. Με την πάροδο των ετών, έχουν παρατηρηθεί παρόμοιες δραστηριότητες που στοχεύουν οντότητες στην Ταϊβάν και την Ινδία, καταδεικνύοντας το ευρύτερο στρατηγικό ενδιαφέρον του ομίλου.
Εντοπίστηκαν τρεις μεγάλες εκστρατείες επίθεσης
Σύμφωνα με το NPA και το NCSC, οι δραστηριότητες του MirrorFace έχουν ταξινομηθεί σε τρεις μεγάλες εκστρατείες:
- Εκστρατεία Α (Δεκέμβριος 2019 – Ιούλιος 2023 ): Αυτή η φάση επικεντρώθηκε σε δεξαμενές σκέψης, κυβερνητικούς φορείς, πολιτικούς και οργανισμούς μέσων ενημέρωσης. Οι επιτιθέμενοι χρησιμοποίησαν μηνύματα ηλεκτρονικού ψαρέματος (spear-phishing) για να παραδώσουν τα LODEINFO , NOOPDOOR και μια προσαρμοσμένη έκδοση του Lilith RAT γνωστή ως LilimRAT.
- Καμπάνια Β (Φεβρουάριος – Οκτώβριος 2023) : Κατά τη διάρκεια αυτής της περιόδου, η MirrorFace στράφηκε στους τομείς των ημιαγωγών, της κατασκευής, των επικοινωνιών, της ακαδημαϊκής και της αεροδιαστημικής. Η ομάδα εκμεταλλεύτηκε γνωστά τρωτά σημεία σε συσκευές που αντιμετωπίζουν το Διαδίκτυο από τα Array Networks, Citrix και Fortinet για να διεισδύσει σε δίκτυα και να αναπτύξει τα Cobalt Strike Beacon, LODEINFO και NOOPDOOR.
- Εκστρατεία Γ (Από τον Ιούνιο του 2024): Οι πιο πρόσφατες επιθέσεις στόχευαν κυρίως τον ακαδημαϊκό χώρο, τις δεξαμενές σκέψης, τους πολιτικούς και τους οργανισμούς μέσων ενημέρωσης. Οι επιτιθέμενοι συνεχίζουν να χρησιμοποιούν ηλεκτρονικά μηνύματα ηλεκτρονικού "ψαρέματος" (spear-phishing), αυτή τη φορά για να παραδώσουν το ANEL (επίσης γνωστό ως UPPERCUT).
Τεχνικές Αποφυγής και Συγκαλυμμένες Επικοινωνίες
Το MirrorFace έχει χρησιμοποιήσει προηγμένες τεχνικές για να διατηρήσει την επιμονή και να αποφύγει τον εντοπισμό. Μια αξιοσημείωτη τακτική περιλαμβάνει τη χρήση απομακρυσμένων σηράγγων του Visual Studio Code για τη δημιουργία κρυφών συνδέσεων, επιτρέποντας στους παράγοντες απειλών να παρακάμπτουν τις άμυνες δικτύου και να διατηρούν τον απομακρυσμένο έλεγχο σε παραβιασμένα συστήματα.
Windows Sandbox για μια Stealth εκτέλεση
Οι ερευνητές ανακάλυψαν επίσης ότι οι εισβολείς εκτελούσαν απειλητικά ωφέλιμα φορτία εντός του περιβάλλοντος Sandbox των Windows. Αυτή η προσέγγιση επιτρέπει στο κακόβουλο λογισμικό να λειτουργεί χωρίς να εντοπίζεται από λογισμικό προστασίας από ιούς ή συστήματα ανίχνευσης και απόκρισης τελικού σημείου (EDR). Επιπλέον, μόλις κλείσει ή επανεκκινηθεί ο κεντρικός υπολογιστής, διαγράφονται όλα τα ίχνη του κακόβουλου λογισμικού, χωρίς να αφήνονται ιατροδικαστικά στοιχεία.
Συνεχής απειλή για την Εθνική Ασφάλεια
Οι επίμονες και εξελισσόμενες τακτικές που χρησιμοποιεί το MirrorFace υπογραμμίζουν τις συνεχιζόμενες απειλές στον κυβερνοχώρο που αντιμετωπίζει η Ιαπωνία. Στοχεύοντας κρίσιμους τομείς και εφαρμόζοντας εξελιγμένες στρατηγικές φοροδιαφυγής, ο όμιλος συνεχίζει να αποτελεί σοβαρή πρόκληση για την εθνική ασφάλεια και τις τεχνολογικές εξελίξεις. Οι αρχές προτρέπουν τους οργανισμούς να παραμείνουν σε επαγρύπνηση έναντι των απόπειρων ψαρέματος με δόρυ και να ενισχύσουν την άμυνά τους στον τομέα της κυβερνοασφάλειας έναντι των εξελισσόμενων απειλών.
