MirrorFace APT

일본 경찰청(NPA)과 국가 사이버 보안 사건 대비 및 전략 센터(NCSC)는 MirrorFace라는 중국과 관련된 위협 행위자가 장기간 사이버 공격 캠페인을 조직했다고 비난했습니다. 이 그룹은 2019년부터 국가 안보 및 첨단 기술과 관련된 정보를 훔치려고 일본 전역의 조직, 기업 및 개인을 표적으로 삼았다고 합니다.

MirrorFace의 APT10 링크

MirrorFace는 Earth Kasha라고도 불리며, 잘 알려진 APT10 위협 행위자 내의 하위 그룹으로 여겨진다. 이 그룹은 ANEL, LODEINFO, NOOPDOOR(HiddenFace라고도 함)와 같은 정교한 도구를 사용하여 목표를 달성하면서 일본 기관을 체계적으로 공격했다.

스피어 피싱 및 타겟 확장

연구자들은 MirrorFace가 ANEL과 NOOPDOOR를 배치하기 위해 일본의 개인과 조직을 표적으로 삼은 스피어 피싱 캠페인의 세부 사항을 밝혀냈습니다. 수년에 걸쳐 대만과 인도의 기관을 표적으로 삼는 유사한 작전이 관찰되었으며, 이는 이 그룹의 더 광범위한 전략적 이익을 보여줍니다.

3가지 주요 공격 캠페인 식별

NPA와 NCSC에 따르면 MirrorFace의 활동은 세 가지 주요 캠페인으로 분류되었습니다.

• 캠페인 A(2019년 12월 ~2023년 7월 ): 이 단계는 싱크탱크, 정부 기관, 정치인, 미디어 기관에 초점을 맞췄습니다. 공격자는 스피어 피싱 이메일을 사용하여 LODEINFO , NOOPDOOR, LilimRAT로 알려진 Lilith RAT 의 사용자 지정 버전을 전달했습니다.
• 캠페인 B(2023년 2월~10월) : 이 기간 동안 MirrorFace는 반도체, 제조, 통신, 학술 및 항공우주 분야로 초점을 옮겼습니다. 이 그룹은 Array Networks, Citrix 및 Fortinet의 인터넷 연결 장치에서 알려진 취약성을 악용하여 네트워크에 침투하고 Cobalt Strike Beacon, LODEINFO 및 NOOPDOOR를 배포했습니다.
• 캠페인 C(2024년 6월부터): 가장 최근의 공격은 주로 학계, 싱크탱크, 정치인 및 미디어 기관을 표적으로 삼았습니다. 공격자는 스피어 피싱 이메일을 계속 사용하여 이번에는 ANEL(UPPERCUT이라고도 함)을 전달합니다.

회피 기술과 은밀한 커뮤니케이션

MirrorFace는 지속성을 유지하고 감지를 피하기 위해 고급 기술을 사용했습니다. 주목할 만한 전술은 Visual Studio Code 원격 터널을 사용하여 은밀한 연결을 설정하여 위협 행위자가 네트워크 방어를 우회하고 손상된 시스템에 대한 원격 제어를 유지할 수 있도록 하는 것입니다.

스텔스 실행을 위한 Windows 샌드박스

조사관들은 또한 공격자들이 Windows Sandbox 환경 내에서 위협적인 페이로드를 실행하고 있다는 사실을 발견했습니다. 이 접근 방식을 통해 맬웨어는 바이러스 백신 소프트웨어나 Endpoint Detection and Response(EDR) 시스템에 감지되지 않고 작동할 수 있습니다. 게다가 호스트 컴퓨터가 종료되거나 다시 시작되면 맬웨어의 모든 흔적이 지워져 법의학적 증거가 남지 않습니다.

국가 안보에 대한 지속적인 위협

MirrorFace가 사용하는 지속적이고 진화하는 전술은 일본이 직면한 지속적인 사이버 위협을 강조합니다. 중요한 부문을 표적으로 삼고 정교한 회피 전략을 사용함으로써 이 그룹은 국가 안보와 기술 발전에 심각한 도전을 계속 제기하고 있습니다. 당국은 조직에 스피어 피싱 시도에 대한 경계를 유지하고 진화하는 위협에 대한 사이버 보안 방어를 강화할 것을 촉구합니다.