MirrorFace APT
Jaapani riiklik politseiagentuur (NPA) ja riiklik intsidentide valmisoleku ja küberjulgeoleku strateegia keskus (NCSC) on süüdistanud Hiinaga seotud ohutegijat, tuntud kui MirrorFace, pikaajalise küberrünnakukampaania korraldamises. Alates 2019. aastast on rühmitus väidetavalt võtnud sihikule organisatsioone, ettevõtteid ja üksikisikuid kogu Jaapanis, eesmärgiga varastada riikliku julgeoleku ja kõrgtehnoloogiaga seotud teavet.
Sisukord
MirrorFace'i lingid APT10-le
Arvatakse, et MirrorFace, mida nimetatakse ka Earth Kashaks, on tuntud APT10 ohutegija alamrühm. Rühm on süstemaatiliselt rünnanud Jaapani üksusi, kasutades oma eesmärkide saavutamiseks keerukaid tööriistu, nagu ANEL, LODEINFO ja NOOPDOOR (tuntud ka kui HiddenFace).
Andmepüügi ja sihtmärgi laiendamine
Teadlased on avastanud andmepüügikampaania üksikasjad, mille käigus MirrorFace võttis sihikule Jaapani üksikisikud ja organisatsioonid ANELi ja NOOPDOORi kasutuselevõtuks. Aastate jooksul on sarnaseid tegevusi täheldatud Taiwani ja India üksustele, mis näitab grupi laiemat strateegilist huvi.
Tuvastati kolm suurt rünnakukampaaniat
NPA ja NCSC andmetel on MirrorFace'i tegevused liigitatud kolme suurde kampaaniasse:
- Kampaania A (detsember 2019 – juuli 2023 ): see etapp keskendus mõttekodadele, valitsusasutustele, poliitikutele ja meediaorganisatsioonidele. Ründajad kasutasid andmepüügimeile LODEINFO , NOOPDOORi ja Lilith RATi kohandatud versiooni, mida tuntakse LilimRAT nime all, edastamiseks.
- Kampaania B (veebruar – oktoober 2023) : sel perioodil keskendus MirrorFace pooljuhtide, tootmise, side, akadeemilisele ja kosmosesektorile. Rühm kasutas Array Networksi, Citrixi ja Fortineti Interneti-ühendusega seadmetes tuntud turvaauke, et tungida võrkudesse ning juurutada Cobalt Strike Beacon, LODEINFO ja NOOPDOOR.
- Kampaania C (alates juunist 2024): Viimased rünnakud on olnud peamiselt suunatud akadeemiliste ringkondade, mõttekodade, poliitikute ja meediaorganisatsioonide vastu. Ründajad jätkavad andmepüügi e-kirjade kasutamist, seekord ANEL-i (tuntud ka kui UPPERCUT) edastamiseks.
Kõrvalehoidmise tehnikad ja varjatud suhtlus
MirrorFace on kasutanud täiustatud tehnikaid, et säilitada püsivus ja vältida tuvastamist. Märkimisväärne taktika hõlmab Visual Studio Code kaugtunnelite kasutamist varjatud ühenduste loomiseks, võimaldades ohus osalejatel võrgukaitsest mööda minna ja säilitada ohustatud süsteemide kaugjuhtimist.
Windowsi liivakast salajaseks täitmiseks
Uurijad avastasid ka, et ründajad on Windowsi liivakasti keskkonnas sooritanud ähvardavaid koormusi. See lähenemisviis võimaldab pahavaral töötada ilma viirusetõrjetarkvara või lõpp-punkti tuvastamise ja reageerimise (EDR) süsteemide tuvastamata. Veelgi enam, pärast hostarvuti väljalülitamist või taaskäivitamist kustutatakse kõik pahavara jäljed, jätmata maha kohtuekspertiisi tõendeid.
Jätkuv oht riiklikule julgeolekule
MirrorFace'i järjekindel ja arenev taktika tõstab esile jätkuvaid küberohte, millega Jaapan silmitsi seisab. Olles sihikule võtnud kriitilised sektorid ja rakendades keerukaid maksudest kõrvalehoidmise strateegiaid, seab rühm jätkuvalt tõsise väljakutse riigi julgeolekule ja tehnoloogilistele edusammudele. Võimud kutsuvad organisatsioone üles jääma valvsaks andmepüügikatsete suhtes ja tugevdama oma küberjulgeoleku kaitset arenevate ohtude vastu.
