MirrorFace APT
Japanska nacionalna policijska agencija (NPA) i Nacionalni centar za spremnost na incidente i strategiju za kibernetičku sigurnost (NCSC) optužili su prijetnju poznatog kao MirrorFace povezanog s Kinom da je orkestrirao dugotrajnu kampanju kibernetičkih napada. Od 2019. skupina je navodno ciljala organizacije, tvrtke i pojedince diljem Japana s ciljem krađe informacija povezanih s nacionalnom sigurnošću i naprednom tehnologijom.
Sadržaj
Linkovi MirrorFacea na APT10
Vjeruje se da je MirrorFace koji se također naziva Earth Kasha podskupina unutar dobro poznatog aktera prijetnje APT10 . Grupa je sustavno napadala japanske entitete, koristeći sofisticirane alate kao što su ANEL, LODEINFO i NOOPDOOR (također poznat kao HiddenFace) kako bi postigla svoje ciljeve.
Krađa identiteta i ciljna ekspanzija
Istraživači su otkrili detalje spear-phishing kampanje u kojoj je MirrorFace ciljao na pojedince i organizacije u Japanu kako bi implementirali ANEL i NOOPDOOR. Tijekom godina primijećene su slične operacije usmjerene na entitete u Tajvanu i Indiji, što pokazuje širi strateški interes grupe.
Identificirane tri velike napadačke kampanje
Prema NPA i NCSC, aktivnosti MirrorFace-a su klasificirane u tri glavne kampanje:
- Kampanja A (prosinac 2019. – srpanj 2023. ): Ova faza bila je usredotočena na think tankove, vladine agencije, političare i medijske organizacije. Napadači su koristili e-poruke za krađu identiteta kako bi isporučili LODEINFO , NOOPDOOR i prilagođenu verziju Lilith RAT poznatu kao LilimRAT.
- Kampanja B (veljača – listopad 2023.) : Tijekom ovog razdoblja, MirrorFace je svoj fokus prebacio na poluvodičke, proizvodne, komunikacijske, akademske i zrakoplovne sektore. Grupa je iskoristila poznate ranjivosti u uređajima okrenutim prema internetu iz Array Networksa, Citrixa i Fortineta kako bi se infiltrirala u mreže i implementirala Cobalt Strike Beacon, LODEINFO i NOOPDOOR.
- Kampanja C (od lipnja 2024.): Najnoviji napadi primarno su bili usmjereni na akademsku zajednicu, think tankove, političare i medijske organizacije. Napadači nastavljaju koristiti e-mailove za krađu identiteta, ovaj put za isporuku ANEL-a (također poznatog kao UPPERCUT).
Tehnike utaje i tajne komunikacije
MirrorFace koristi napredne tehnike za održavanje postojanosti i izbjegavanje otkrivanja. Značajna taktika uključuje korištenje udaljenih tunela Visual Studio Code za uspostavljanje tajnih veza, omogućujući prijetnjama da zaobiđu obranu mreže i zadrže daljinsku kontrolu nad ugroženim sustavima.
Windows Sandbox za skriveno izvršenje
Istražitelji su također otkrili da su napadači izvršavali prijeteće sadržaje unutar okruženja Windows Sandbox. Ovaj pristup omogućuje zlonamjernom softveru da radi bez otkrivanja antivirusnog softvera ili sustava za otkrivanje i odgovor krajnje točke (EDR). Štoviše, nakon što se glavno računalo isključi ili ponovno pokrene, brišu se svi tragovi zlonamjernog softvera, ne ostavljajući forenzičke dokaze.
Trajna prijetnja nacionalnoj sigurnosti
Uporne i razvijajuće taktike koje koristi MirrorFace naglašavaju stalne cyber prijetnje s kojima se Japan suočava. Usmjeravanjem na kritične sektore i korištenjem sofisticiranih strategija izbjegavanja, skupina nastavlja predstavljati ozbiljan izazov nacionalnoj sigurnosti i tehnološkom napretku. Vlasti pozivaju organizacije da ostanu na oprezu protiv pokušaja spear-phishinga i da ojačaju svoju kibersigurnosnu obranu od rastućih prijetnji.
