MirrorFace APT
Japonijos nacionalinė policijos agentūra (NPA) ir Nacionalinis pasirengimo incidentams ir kibernetinio saugumo strategijos centras (NCSC) apkaltino su Kinija susijusį grėsmių veikėją, žinomą kaip MirrorFace, organizavus ilgalaikę kibernetinės atakos kampaniją. Nuo 2019 m. grupė tariamai taikėsi į organizacijas, įmones ir asmenis visoje Japonijoje, siekdama pavogti informaciją, susijusią su nacionaliniu saugumu ir pažangiomis technologijomis.
Turinys
„MirrorFace“ nuorodos į APT10
Manoma, kad „MirrorFace“, dar vadinamas „Earth Kasha“, yra gerai žinomo APT10 grėsmės veikėjo pogrupis. Grupė sistemingai atakavo Japonijos subjektus, naudodama sudėtingas priemones, tokias kaip ANEL, LODEINFO ir NOOPDOOR (taip pat žinomas kaip HiddenFace), kad pasiektų savo tikslus.
„Spear-phishing“ ir taikinio išplėtimas
Tyrėjai atskleidė informacijos apie sukčiavimo ietis, kurios metu „MirrorFace“ nukreipė Japonijos asmenis ir organizacijas, kad įdiegtų ANEL ir NOOPDOOR. Bėgant metams buvo stebimos panašios operacijos, nukreiptos į subjektus Taivane ir Indijoje, o tai rodo platesnį grupės strateginį interesą.
Nustatytos trys pagrindinės puolimo kampanijos
Remiantis NPA ir NCSC, „MirrorFace“ veikla buvo suskirstyta į tris pagrindines kampanijas:
- Kampanija A (2019 m. gruodžio mėn. – 2023 m. liepos mėn .): Šiame etape daugiausia dėmesio skirta ekspertų grupėms, vyriausybinėms agentūroms, politikams ir žiniasklaidos organizacijoms. Užpuolikai naudojo sukčiavimo el. laiškus, kad pristatytų LODEINFO , NOOPDOOR ir pritaikytą Lilith RAT versiją, žinomą kaip LilimRAT.
- Kampanija B (2023 m. vasario–spalio mėn.) : per šį laikotarpį „MirrorFace“ sutelkė dėmesį į puslaidininkių, gamybos, ryšių, akademinį ir kosmoso sektorius. Grupė išnaudojo žinomas į internetą nukreiptų įrenginių iš Array Networks, Citrix ir Fortinet pažeidžiamumą, kad įsiskverbtų į tinklus ir įdiegtų Cobalt Strike Beacon, LODEINFO ir NOOPDOOR.
- Kampanija C (nuo 2024 m. birželio mėn.): Naujausi išpuoliai pirmiausia buvo nukreipti į akademinę bendruomenę, ekspertų grupes, politikus ir žiniasklaidos organizacijas. Užpuolikai ir toliau naudoja sukčiavimo el. laiškus, šį kartą pristatydami ANEL (taip pat žinomą kaip UPPERCUT).
Vengimo būdai ir slaptas bendravimas
„MirrorFace“ naudojo pažangias technologijas, kad išlaikytų patvarumą ir išvengtų aptikimo. Įsidėmėtina taktika apima „Visual Studio Code“ nuotolinių tunelių naudojimą slaptiems ryšiams užmegzti, o tai leidžia grėsmės veikėjams apeiti tinklo apsaugą ir nuotoliniu būdu valdyti pažeistas sistemas.
Windows smėlio dėžė slaptam vykdymui
Tyrėjai taip pat išsiaiškino, kad užpuolikai Windows Sandbox aplinkoje vykdė grėsmingus krovinius. Šis metodas leidžia kenkėjiškajai programai veikti neaptinkant antivirusinės programinės įrangos arba galutinio taško aptikimo ir atsako (EDR) sistemų. Be to, kai pagrindinis kompiuteris išjungiamas arba paleidžiamas iš naujo, visi kenkėjiškos programos pėdsakai ištrinami, nepaliekant teismo ekspertizės įrodymų.
Nuolatinė grėsmė nacionaliniam saugumui
„MirrorFace“ naudojama nuolatinė ir besivystanti taktika išryškina nuolatines kibernetines grėsmes, su kuriomis susiduria Japonija. Nukreipdama dėmesį į svarbiausius sektorius ir taikydama sudėtingas vengimo strategijas, grupė ir toliau kelia rimtą iššūkį nacionaliniam saugumui ir technologijų pažangai. Valdžios institucijos ragina organizacijas išlikti budrioms prieš sukčiavimą ir stiprinti kibernetinio saugumo apsaugą nuo besivystančių grėsmių.
