MirrorFace APT

ទីភ្នាក់ងារប៉ូលីសជាតិរបស់ប្រទេសជប៉ុន (NPA) និងមជ្ឈមណ្ឌលជាតិនៃការត្រៀមខ្លួន និងយុទ្ធសាស្ត្រសម្រាប់សន្តិសុខតាមអ៊ីនធឺណិត (NCSC) បានចោទប្រកាន់តួអង្គគំរាមកំហែងដែលជាប់ពាក់ព័ន្ធជាមួយប្រទេសចិនដែលគេស្គាល់ថា MirrorFace ថាបានរៀបចំយុទ្ធនាការវាយប្រហារតាមអ៊ីនធឺណិតដែលដំណើរការជាយូរមកហើយ។ ចាប់តាំងពីឆ្នាំ 2019 មក ក្រុមនេះត្រូវបានគេចោទប្រកាន់ថាបានកំណត់គោលដៅលើអង្គការ អាជីវកម្ម និងបុគ្គលនានានៅទូទាំងប្រទេសជប៉ុន ក្នុងគោលបំណងលួចព័ត៌មានទាក់ទងនឹងសន្តិសុខជាតិ និងបច្ចេកវិទ្យាទំនើប។

តំណភ្ជាប់របស់ MirrorFace ទៅ APT10

MirrorFace ត្រូវបានគេសំដៅផងដែរថាជា Earth Kasha ត្រូវបានគេជឿថាជាក្រុមរងមួយនៅក្នុងតួអង្គគំរាមកំហែង APT10 ដ៏ល្បីល្បាញ។ ក្រុមនេះបានវាយប្រហារជាប្រព័ន្ធទៅលើអង្គភាពរបស់ជប៉ុន ដោយប្រើប្រាស់ឧបករណ៍ទំនើបៗដូចជា ANEL, LODEINFO, និង NOOPDOOR (ត្រូវបានគេស្គាល់ថា HiddenFace) ដើម្បីសម្រេចបាននូវគោលបំណងរបស់វា។

Spear-Phishing និងការពង្រីកគោលដៅ

អ្នកស្រាវជ្រាវបានរកឃើញព័ត៌មានលម្អិតនៃយុទ្ធនាការបន្លំលំពែង ដែល MirrorFace បានកំណត់គោលដៅបុគ្គល និងអង្គការនានាក្នុងប្រទេសជប៉ុន ដើម្បីដាក់ពង្រាយ ANEL និង NOOPDOOR ។ ប៉ុន្មានឆ្នាំមកនេះ ប្រតិបត្តិការស្រដៀងគ្នានេះត្រូវបានគេសង្កេតឃើញសំដៅទៅលើអង្គភាពនានានៅតៃវ៉ាន់ និងឥណ្ឌា ដែលបង្ហាញពីចំណាប់អារម្មណ៍ជាយុទ្ធសាស្ត្រកាន់តែទូលំទូលាយរបស់ក្រុមនេះ។

យុទ្ធនាការវាយប្រហារធំៗចំនួនបីត្រូវបានកំណត់អត្តសញ្ញាណ

យោងតាម NPA និង NCSC សកម្មភាពរបស់ MirrorFace ត្រូវបានចាត់ថ្នាក់ជាយុទ្ធនាការធំៗចំនួនបី៖

• យុទ្ធនាការ A (ខែធ្នូ ឆ្នាំ 2019 ដល់ខែកក្កដា ឆ្នាំ 2023 )៖ ដំណាក់កាលនេះផ្តោតលើក្រុមអ្នកគិត ភ្នាក់ងាររដ្ឋាភិបាល អ្នកនយោបាយ និងអង្គការប្រព័ន្ធផ្សព្វផ្សាយ។ អ្នកវាយប្រហារបានប្រើអ៊ីម៉ែលបន្លំដើម្បីបញ្ជូន LODEINFO NOOPDOOR និងកំណែផ្ទាល់ខ្លួនរបស់ Lilith RAT ដែលត្រូវបានគេស្គាល់ថា LilimRAT ។
• យុទ្ធនាការ B (ខែកុម្ភៈ ដល់ខែតុលា ឆ្នាំ 2023) ៖ ក្នុងអំឡុងពេលនេះ MirrorFace បានផ្លាស់ប្តូរការផ្តោតអារម្មណ៍របស់ខ្លួនទៅកាន់ផ្នែក semiconductor ការផលិត ទំនាក់ទំនង ការសិក្សា និងវិស័យអវកាស។ ក្រុមនេះបានកេងប្រវ័ញ្ចភាពងាយរងគ្រោះដែលគេស្គាល់នៅក្នុងឧបករណ៍ដែលប្រឈមមុខនឹងអ៊ីនធឺណិតពី Array Networks, Citrix និង Fortinet ដើម្បីជ្រៀតចូលបណ្តាញ និងដាក់ឱ្យប្រើប្រាស់ Cobalt Strike Beacon, LODEINFO និង NOOPDOOR ។
• យុទ្ធនាការ C (ចាប់ពីខែមិថុនា ឆ្នាំ 2024)៖ ការវាយប្រហារថ្មីៗបំផុតបានកំណត់គោលដៅជាចម្បងទៅលើអ្នកសិក្សា អ្នកគិត អ្នកនយោបាយ និងអង្គការប្រព័ន្ធផ្សព្វផ្សាយ។ អ្នកវាយប្រហារបន្តប្រើ spear-phishing emails លើកនេះដើម្បីបញ្ជូន ANEL (ត្រូវបានគេស្គាល់ផងដែរថាជា UPPERCUT)។

បច្ចេកទេសគេចវេះ និងទំនាក់ទំនងសម្ងាត់

MirrorFace បានប្រើប្រាស់បច្ចេកទេសកម្រិតខ្ពស់ ដើម្បីរក្សាភាពស្ថិតស្ថេរ និងជៀសវាងការរកឃើញ។ យុទ្ធសាស្ត្រដ៏គួរឱ្យកត់សម្គាល់មួយពាក់ព័ន្ធនឹងការប្រើប្រាស់ផ្លូវរូងក្រោមដីពីចម្ងាយ Visual Studio Code ដើម្បីបង្កើតការតភ្ជាប់សម្ងាត់ ដែលអនុញ្ញាតឱ្យតួអង្គគំរាមកំហែងឆ្លងកាត់ការការពារបណ្តាញ និងរក្សាការគ្រប់គ្រងពីចម្ងាយលើប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។

Windows Sandbox សម្រាប់ការប្រតិបត្តិបំបាំងកាយ

អ្នកស៊ើបអង្កេតក៏បានរកឃើញថា អ្នកវាយប្រហារបាននិងកំពុងដំណើរការបន្ទុកគំរាមកំហែងនៅក្នុងបរិស្ថាន Windows Sandbox ។ វិធីសាស្រ្តនេះអនុញ្ញាតឱ្យមេរោគដំណើរការដោយមិនត្រូវបានរកឃើញដោយកម្មវិធីកំចាត់មេរោគ ឬប្រព័ន្ធ Endpoint Detection and Response (EDR)។ ជាងនេះទៅទៀត នៅពេលដែលកុំព្យូទ័រម៉ាស៊ីនត្រូវបានបិទ ឬចាប់ផ្តើមឡើងវិញ ដានទាំងអស់នៃមេរោគត្រូវបានលុប ដោយបន្សល់ទុកនូវភស្តុតាងកោសល្យវិច្ច័យ។

ការគំរាមកំហែងដល់សន្តិសុខជាតិ

យុទ្ធសាស្ត្រជាប់លាប់ និងការវិវត្តដែលប្រើប្រាស់ដោយ MirrorFace បង្ហាញពីការគំរាមកំហែងតាមអ៊ីនធឺណិតដែលកំពុងប្រឈមមុខនឹងប្រទេសជប៉ុន។ តាមរយៈការកំណត់គោលដៅលើវិស័យសំខាន់ៗ និងការប្រើប្រាស់យុទ្ធសាស្រ្តគេចវេសដ៏ទំនើប ក្រុមនេះនៅតែបន្តបង្កបញ្ហាប្រឈមយ៉ាងធ្ងន់ធ្ងរដល់សន្តិសុខជាតិ និងការរីកចម្រើនផ្នែកបច្ចេកវិទ្យា។ អាជ្ញាធរជំរុញឱ្យអង្គការនានារក្សាការប្រុងប្រយ័ត្នប្រឆាំងនឹងការប៉ុនប៉ងលួចបន្លំលំពែង និងពង្រឹងការការពារសន្តិសុខតាមអ៊ីនធឺណិតរបស់ពួកគេប្រឆាំងនឹងការគំរាមកំហែងដែលកំពុងវិវត្ត។