MirrorFace APT
Japanin kansallinen poliisivirasto (NPA) ja National Center of Incident Readiness and Strategy for Cybersecurity (NCSC) ovat syyttäneet Kiinaan sidoksissa olevaa MirrorFace-nimistä uhkatoimijaa pitkäaikaisen kyberhyökkäyskampanjan järjestämisestä. Vuodesta 2019 lähtien ryhmän väitetään kohdistaneen kohteena organisaatioita, yrityksiä ja yksityishenkilöitä kaikkialla Japanissa pyrkien varastamaan kansalliseen turvallisuuteen ja kehittyneeseen teknologiaan liittyviä tietoja.
Sisällysluettelo
MirrorFacen linkit APT10:een
MirrorFacen, jota kutsutaan myös nimellä Earth Kasha, uskotaan kuuluvan tunnetun APT10- uhkatoimijan alaryhmään. Ryhmä on hyökännyt systemaattisesti japanilaisia tahoja vastaan käyttämällä kehittyneitä työkaluja, kuten ANEL, LODEINFO ja NOOPDOOR (tunnetaan myös nimellä HiddenFace), saavuttaakseen tavoitteensa.
Spear-phishing ja Target Expansion
Tutkijat ovat paljastaneet yksityiskohtia keihäs-phishing-kampanjasta, jossa MirrorFace kohdistaa Japanissa oleviin henkilöihin ja organisaatioihin ANELin ja NOOPDOORin käyttöönoton. Vuosien varrella vastaavaa toimintaa on havaittu kohdistuneena Taiwanin ja Intian yksiköihin, mikä osoittaa konsernin laajempaa strategista kiinnostusta.
Kolme suurta hyökkäyskampanjaa tunnistettu
NPA:n ja NCSC:n mukaan MirrorFacen toiminta on luokiteltu kolmeen suureen kampanjaan:
- Kampanja A (joulukuu 2019 – heinäkuu 2023 ): Tämä vaihe keskittyi ajatushautoihin, valtion virastoihin, poliitikkoihin ja mediaorganisaatioihin. Hyökkääjät käyttivät kalastelusähköposteja toimittaakseen LODEINFO- , NOOPDOOR- ja mukautetun Lilith RAT -version, joka tunnetaan nimellä LilimRAT.
- Kampanja B (helmi–lokakuu 2023) : Tänä aikana MirrorFace siirsi painopisteensä puolijohde-, valmistus-, viestintä-, akateemisille ja ilmailusektoreille. Ryhmä hyödynsi tunnettuja Array Networksin, Citrixin ja Fortinetin Internetiin liittävien laitteiden haavoittuvuuksia soluttautuakseen verkkoihin ja ottaakseen käyttöön Cobalt Strike Beaconin, LODEINFOn ja NOOPDOORin.
- Kampanja C (kesäkuusta 2024): Viimeisimmät hyökkäykset ovat kohdistuneet ensisijaisesti korkeakouluihin, ajatushautoihin, poliitikkoihin ja mediaorganisaatioihin. Hyökkääjät jatkavat tietojenkalasteluviestien käyttöä tällä kertaa ANEL:in (tunnetaan myös nimellä UPPERCUT) toimittamiseen.
Vyötämistekniikat ja salaviestintä
MirrorFace on käyttänyt kehittyneitä tekniikoita pysyvyyden ylläpitämiseksi ja havaitsemisen välttämiseksi. Merkittävä taktiikka on Visual Studio Coden etätunneleiden käyttäminen piiloyhteyksien muodostamiseen, jolloin uhkatekijät voivat ohittaa verkon suojaukset ja ylläpitää vaarantuneiden järjestelmien etähallintaa.
Windowsin hiekkalaatikko varkain suoritukseen
Tutkijat havaitsivat myös, että hyökkääjät ovat suorittaneet uhkaavia hyötykuormia Windows Sandbox -ympäristössä. Tämä lähestymistapa mahdollistaa haittaohjelman toiminnan ilman, että virustorjuntaohjelmisto tai Endpoint Detection and Response (EDR) -järjestelmät havaitsevat niitä. Lisäksi, kun isäntätietokone sammutetaan tai käynnistetään uudelleen, kaikki jäljet haittaohjelmista poistetaan, eikä rikosteknisiä todisteita jää jäljelle.
Jatkuva uhka kansalliselle turvallisuudelle
MirrorFacen käyttämä sitkeä ja kehittyvä taktiikka korostaa Japania kohtaavia jatkuvia kyberuhkia. Kohdistamalla kriittisille aloille ja käyttämällä kehittyneitä veronkiertostrategioita, ryhmä asettaa edelleen vakavan haasteen kansalliselle turvallisuudelle ja teknologiselle kehitykselle. Viranomaiset kehottavat organisaatioita pysymään valppaina tietokalasteluyrityksiä vastaan ja vahvistamaan kyberturvallisuuttaan kehittyviä uhkia vastaan.
