MirrorFace APT

آژانس پلیس ملی ژاپن (NPA) و مرکز ملی آمادگی حوادث و استراتژی امنیت سایبری (NCSC) یک عامل تهدید مرتبط با چین معروف به MirrorFace را به سازماندهی یک کمپین حملات سایبری طولانی مدت متهم کرده اند. از سال 2019، این گروه ظاهراً سازمان‌ها، مشاغل و افراد را در سراسر ژاپن هدف قرار داده است و هدف آن سرقت اطلاعات مربوط به امنیت ملی و فناوری پیشرفته است.

پیوندهای MirrorFace به APT10

MirrorFace که با نام Earth Kasha نیز شناخته می شود، گمان می رود که یکی از زیرگروه های موجود در بازیگر معروف تهدید APT10 باشد. این گروه به طور سیستماتیک به نهادهای ژاپنی حمله کرده است و از ابزارهای پیچیده ای مانند ANEL، LODEINFO، و NOOPDOOR (همچنین به عنوان HiddenFace شناخته می شود) برای دستیابی به اهداف خود استفاده کرده است.

Spear-Phishing و Target Expansion

محققان جزئیات یک کمپین spear-phishing را کشف کرده‌اند که در آن MirrorFace افراد و سازمان‌ها را در ژاپن برای استقرار ANEL و NOOPDOOR هدف قرار می‌داد. طی سال‌ها، عملیات‌های مشابهی برای هدف قرار دادن نهادها در تایوان و هند مشاهده شده است که نشان‌دهنده علاقه راهبردی گسترده‌تر این گروه است.

سه کمپین حمله اصلی شناسایی شد

بر اساس NPA و NCSC، فعالیت های MirrorFace به سه کمپین اصلی طبقه بندی شده است:

• کمپین A (دسامبر 2019 - ژوئیه 2023 ): این مرحله بر اتاق‌های فکر، سازمان‌های دولتی، سیاستمداران و سازمان‌های رسانه‌ای متمرکز بود. مهاجمان از ایمیل های فیشینگ نیزه ای برای ارائه LODEINFO ، NOOPDOOR و نسخه سفارشی شده Lilith RAT معروف به LilimRAT استفاده کردند.
• کمپین B (فوریه - اکتبر 2023) : در این دوره، MirrorFace تمرکز خود را به بخش های نیمه هادی، تولید، ارتباطات، دانشگاهی و هوافضا معطوف کرد. این گروه از آسیب‌پذیری‌های شناخته‌شده در دستگاه‌های رو به اینترنت از Array Networks، Citrix و Fortinet برای نفوذ به شبکه‌ها و استقرار Cobalt Strike Beacon، LODEINFO و NOOPDOOR استفاده کرد.
• کمپین C (از ژوئن 2024): حملات اخیر عمدتاً دانشگاه ها، اتاق های فکر، سیاستمداران و سازمان های رسانه ای را هدف قرار داده اند. مهاجمان همچنان به استفاده از ایمیل های فیشینگ نیزه ای ادامه می دهند، این بار برای ارائه ANEL (همچنین به عنوان UPPERCUT شناخته می شود).

تکنیک های فرار و ارتباطات پنهان

MirrorFace از تکنیک های پیشرفته ای برای حفظ پایداری و جلوگیری از شناسایی استفاده کرده است. یک تاکتیک قابل توجه شامل استفاده از تونل های راه دور Visual Studio Code برای ایجاد اتصالات مخفی است که به عوامل تهدید امکان می دهد از دفاع شبکه دور بزنند و کنترل از راه دور بر روی سیستم های در معرض خطر را حفظ کنند.

Sandbox ویندوز برای اجرای مخفیانه

محققان همچنین دریافتند که مهاجمان بارهای تهدید کننده را در محیط Sandbox ویندوز اجرا کرده اند. این رویکرد به بدافزار اجازه می دهد تا بدون شناسایی شدن توسط نرم افزار آنتی ویروس یا سیستم های تشخیص و پاسخ نقطه پایانی (EDR) عمل کند. علاوه بر این، هنگامی که رایانه میزبان خاموش یا راه اندازی مجدد می شود، تمام آثار بدافزار پاک می شود و هیچ شواهد پزشکی قانونی باقی نمی ماند.

تهدید مداوم امنیت ملی

تاکتیک‌های مداوم و در حال تکاملی که توسط MirrorFace استفاده می‌شود، تهدیدات سایبری مداومی را که ژاپن با آن مواجه است، برجسته می‌کند. با هدف قرار دادن بخش‌های حیاتی و به‌کارگیری استراتژی‌های پیچیده فرار، این گروه همچنان به ایجاد یک چالش جدی برای امنیت ملی و پیشرفت‌های فناوری ادامه می‌دهد. مقامات سازمان ها را ترغیب می کنند که در برابر تلاش های فیشینگ نیزه ای هوشیار باقی بمانند و دفاع امنیت سایبری خود را در برابر تهدیدات در حال تحول تقویت کنند.