MirrorFace APT
A japán Nemzeti Rendőrség (NPA) és az Országos Incidensekre való felkészültség és a Kiberbiztonsági Stratégia Központja (NCSC) egy Kínához köthető, MirrorFace néven ismert fenyegetettséget vádolt meg egy hosszú távú kibertámadási kampány megszervezésével. A csoport 2019 óta állítólag szervezeteket, vállalkozásokat és magánszemélyeket céloz meg Japánban azzal a céllal, hogy nemzetbiztonsággal és fejlett technológiával kapcsolatos információkat lopjanak el.
Tartalomjegyzék
A MirrorFace linkjei az APT10-hez
A MirrorFace, más néven Earth Kasha, úgy gondolják, hogy a jól ismert APT10 fenyegetés szereplőjének egy alcsoportja. A csoport szisztematikusan támadta a japán entitásokat, olyan kifinomult eszközöket alkalmazva, mint az ANEL, a LODEINFO és a NOOPDOOR (más néven HiddenFace), céljai elérése érdekében.
Spear-phishing és célkiterjesztés
A kutatók egy lándzsás adathalász kampány részleteit tárták fel, amelyben a MirrorFace magánszemélyeket és szervezeteket célzott meg Japánban az ANEL és a NOOPDOOR telepítésére. Az évek során hasonló műveleteket figyeltek meg Tajvanon és Indiában, ami a csoport szélesebb körű stratégiai érdeklődését mutatja.
Három fő támadási kampányt azonosítottak
Az NPA és az NCSC szerint a MirrorFace tevékenységeit három fő kampányba sorolták:
- „A” kampány (2019. december – 2023. július ): Ez a szakasz az agytrösztökre, a kormányzati ügynökségekre, a politikusokra és a médiaszervezetekre összpontosított. A támadók adathalász e-maileket használtak a LODEINFO , a NOOPDOOR és a Lilith RAT testreszabott, LilimRAT néven ismert verziójának kézbesítésére.
- B kampány (2023. február–október) : Ebben az időszakban a MirrorFace a félvezető-, gyártás-, kommunikációs, tudományos és űrkutatási szektorra helyezte a hangsúlyt. A csoport az Array Networks, a Citrix és a Fortinet internetkapcsolatú eszközeinek ismert sebezhetőségeit használta ki, hogy behatoljon a hálózatokba, és telepítse a Cobalt Strike Beacont, a LODEINFO-t és a NOOPDOOR-t.
- C kampány (2024 júniusától): A legutóbbi támadások elsősorban tudományos köröket, agytrösztöket, politikusokat és médiaszervezeteket céloztak meg. A támadók továbbra is használnak adathalász e-maileket, ezúttal az ANEL (más néven UPPERCUT) kézbesítésére.
Kijátszási technikák és titkos kommunikáció
A MirrorFace fejlett technikákat alkalmazott a tartósság fenntartása és az észlelés elkerülése érdekében. Figyelemre méltó taktika a Visual Studio Code távoli alagutak használata rejtett kapcsolatok létrehozására, lehetővé téve a fenyegetés szereplői számára, hogy megkerüljék a hálózati védelmet, és távvezérlést tartsanak fenn a kompromittált rendszerek felett.
Windows Sandbox lopakodó végrehajtáshoz
A nyomozók azt is felfedezték, hogy a támadók fenyegető rakományokat hajtottak végre a Windows Sandbox környezetben. Ez a megközelítés lehetővé teszi, hogy a rosszindulatú program anélkül működjön, hogy a víruskereső szoftver vagy az Endpoint Detection and Response (EDR) rendszer észlelné. Ezen túlmenően, ha a gazdaszámítógépet leállítják vagy újraindítják, a kártevő minden nyoma törlődik, és nem hagy maga után törvényszéki bizonyítékot.
Folyamatos nemzetbiztonsági fenyegetés
A MirrorFace által alkalmazott kitartó és fejlődő taktikák rávilágítanak a Japánnal szembeni folyamatos kiberfenyegetésekre. A kritikus ágazatok megcélzásával és kifinomult kijátszási stratégiák alkalmazásával a csoport továbbra is komoly kihívást jelent a nemzetbiztonság és a technológiai fejlődés számára. A hatóságok arra kérik a szervezeteket, hogy maradjanak éberek az adathalász kísérletekkel szemben, és erősítsék meg kiberbiztonsági védelmüket a fejlődő fenyegetésekkel szemben.
