MirrorFace APT
La National Police Agency (NPA) del Giappone e il National Center of Incident Readiness and Strategy for Cybersecurity (NCSC) hanno accusato un threat actor legato alla Cina, noto come MirrorFace, di aver orchestrato una campagna di cyberattacchi di lunga data. Dal 2019, il gruppo avrebbe preso di mira organizzazioni, aziende e individui in tutto il Giappone, con l'obiettivo di rubare informazioni relative alla sicurezza nazionale e alla tecnologia avanzata.
Sommario
Link di MirrorFace ad APT10
MirrorFace, noto anche come Earth Kasha, è ritenuto un sottogruppo all'interno del noto threat actor APT10 . Il gruppo ha attaccato sistematicamente entità giapponesi, impiegando strumenti sofisticati come ANEL, LODEINFO e NOOPDOOR (noto anche come HiddenFace) per raggiungere i suoi obiettivi.
Spear-phishing e espansione del bersaglio
I ricercatori hanno scoperto i dettagli di una campagna di spear-phishing in cui MirrorFace ha preso di mira individui e organizzazioni in Giappone per distribuire ANEL e NOOPDOOR. Nel corso degli anni, sono state osservate operazioni simili che hanno preso di mira entità a Taiwan e in India, dimostrando il più ampio interesse strategico del gruppo.
Identificate tre importanti campagne di attacco
Secondo NPA e NCSC, le attività di MirrorFace sono state classificate in tre campagne principali:
- Campagna A (dicembre 2019 – luglio 2023 ): questa fase si è concentrata su think tank, agenzie governative, politici e organizzazioni mediatiche. Gli aggressori hanno utilizzato e-mail di spear-phishing per recapitare LODEINFO , NOOPDOOR e una versione personalizzata di Lilith RAT nota come LilimRAT.
- Campagna B (febbraio - ottobre 2023) : durante questo periodo, MirrorFace ha spostato la sua attenzione sui settori dei semiconduttori, della produzione, delle comunicazioni, accademico e aerospaziale. Il gruppo ha sfruttato vulnerabilità note nei dispositivi Internet-facing di Array Networks, Citrix e Fortinet per infiltrarsi nelle reti e distribuire Cobalt Strike Beacon, LODEINFO e NOOPDOOR.
- Campagna C (da giugno 2024): gli attacchi più recenti hanno preso di mira principalmente il mondo accademico, i think tank, i politici e le organizzazioni mediatiche. Gli aggressori continuano a usare e-mail di spear-phishing, questa volta per inviare ANEL (noto anche come UPPERCUT).
Tecniche di evasione e comunicazioni segrete
MirrorFace ha impiegato tecniche avanzate per mantenere la persistenza ed evitare il rilevamento. Una tattica degna di nota prevede l'uso di tunnel remoti di Visual Studio Code per stabilire connessioni segrete, consentendo agli attori della minaccia di aggirare le difese di rete e mantenere il controllo remoto sui sistemi compromessi.
Sandbox di Windows per un’esecuzione stealth
Gli investigatori hanno anche scoperto che gli aggressori hanno eseguito payload minacciosi all'interno dell'ambiente Windows Sandbox. Questo approccio consente al malware di operare senza essere rilevato dal software antivirus o dai sistemi Endpoint Detection and Response (EDR). Inoltre, una volta spento o riavviato il computer host, tutte le tracce del malware vengono cancellate, senza lasciare alcuna prova forense.
Minaccia continua alla sicurezza nazionale
Le tattiche persistenti e in continua evoluzione utilizzate da MirrorFace evidenziano le minacce informatiche in corso che il Giappone deve affrontare. Prendendo di mira settori critici e impiegando sofisticate strategie di evasione, il gruppo continua a rappresentare una seria sfida per la sicurezza nazionale e i progressi tecnologici. Le autorità esortano le organizzazioni a rimanere vigili contro i tentativi di spear-phishing e a rafforzare le proprie difese di sicurezza informatica contro le minacce in continua evoluzione.
