MirrorFace APT
Japānas Nacionālā policijas aģentūra (NPA) un Nacionālais incidentu gatavības un kiberdrošības stratēģijas centrs (NCSC) ir apsūdzējis ar Ķīnu saistītu apdraudējumu dalībnieku, kas pazīstams kā MirrorFace, ilgstošas kiberuzbrukumu kampaņas organizēšanā. Kopš 2019. gada grupa, iespējams, ir vērsusies pret organizācijām, uzņēmumiem un privātpersonām visā Japānā, lai nozagtu informāciju, kas saistīta ar valsts drošību un progresīvām tehnoloģijām.
Satura rādītājs
MirrorFace saites uz APT10
Tiek uzskatīts, ka MirrorFace, ko dēvē arī par Earth Kasha, ir labi zināmā APT10 apdraudējuma aktiera apakšgrupa. Grupa ir sistemātiski uzbrukusi Japānas vienībām, izmantojot tādus sarežģītus rīkus kā ANEL, LODEINFO un NOOPDOOR (pazīstams arī kā HiddenFace), lai sasniegtu savus mērķus.
Spear-phishing un mērķa paplašināšana
Pētnieki ir atklājuši sīkāku informāciju par pikšķerēšanas kampaņu, kurā MirrorFace mērķēja uz personām un organizācijām Japānā, lai izvietotu ANEL un NOOPDOOR. Gadu gaitā ir novērotas līdzīgas darbības, kas vērstas uz organizācijām Taivānā un Indijā, demonstrējot grupas plašāku stratēģisko interesi.
Identificētas trīs lielas uzbrukuma kampaņas
Saskaņā ar NPA un NCSC, MirrorFace aktivitātes ir iedalītas trīs galvenajās kampaņās:
- Kampaņa A (2019. gada decembris –2023. gada jūlijs ): šajā posmā galvenā uzmanība tika pievērsta ideju laboratorijām, valdības aģentūrām, politiķiem un plašsaziņas līdzekļu organizācijām. Uzbrucēji izmantoja pikšķerēšanas e-pastus, lai piegādātu LODEINFO , NOOPDOOR un pielāgotu Lilith RAT versiju, kas pazīstama kā LilimRAT.
- Kampaņa B (2023. gada februāris–oktobris) : šajā periodā MirrorFace koncentrējās uz pusvadītāju, ražošanas, komunikāciju, akadēmisko un kosmosa sektoru. Grupa izmantoja zināmās ievainojamības interneta ierīcēm no Array Networks, Citrix un Fortinet, lai iefiltrētos tīklos un izvietotu Cobalt Strike Beacon, LODEINFO un NOOPDOOR.
- Kampaņa C (no 2024. gada jūnija): pēdējie uzbrukumi galvenokārt bija vērsti pret akadēmiskajām aprindām, ideju laboratorijām, politiķiem un mediju organizācijām. Uzbrucēji turpina izmantot pikšķerēšanas e-pastus, šoreiz, lai piegādātu ANEL (pazīstams arī kā UPPERCUT).
Izvairīšanās paņēmieni un slēpta saziņa
MirrorFace ir izmantojis progresīvas metodes, lai saglabātu noturību un izvairītos no atklāšanas. Ievērojama taktika ietver Visual Studio Code attālo tuneļu izmantošanu, lai izveidotu slēptus savienojumus, ļaujot apdraudējuma dalībniekiem apiet tīkla aizsardzību un uzturēt tālvadību pār apdraudētām sistēmām.
Windows smilškaste slepenai izpildei
Izmeklētāji arī atklāja, ka uzbrucēji Windows Sandbox vidē ir veikuši draudīgas kravas. Šī pieeja ļauj ļaunprātīgai programmatūrai darboties, to neatklājot pretvīrusu programmatūra vai galapunktu noteikšanas un reaģēšanas (EDR) sistēmas. Turklāt, tiklīdz resursdators tiek izslēgts vai restartēts, visas ļaunprātīgās programmatūras pēdas tiek izdzēstas, neatstājot nekādus kriminālistikas pierādījumus.
Pastāvīgi draudi nacionālajai drošībai
MirrorFace izmantotā neatlaidīgā un mainīgā taktika izceļ nepārtrauktos kiberdraudus, ar kuriem saskaras Japāna. Mērķējot uz kritiskajām nozarēm un izmantojot sarežģītas nodokļu nemaksāšanas stratēģijas, grupa joprojām rada nopietnus izaicinājumus valsts drošībai un tehnoloģiju attīstībai. Varas iestādes mudina organizācijas saglabāt modrību pret pikšķerēšanas mēģinājumiem un stiprināt kiberdrošības aizsardzību pret mainīgiem draudiem.
