MirrorFace APT
Agensi Polis Kebangsaan Jepun (NPA) dan Pusat Kesediaan dan Strategi Insiden Kebangsaan untuk Keselamatan Siber (NCSC) telah menuduh seorang pelakon ancaman berkaitan China yang dikenali sebagai MirrorFace mendalangi kempen serangan siber yang telah lama berjalan. Sejak 2019, kumpulan itu didakwa menyasarkan organisasi, perniagaan dan individu di seluruh Jepun, bertujuan untuk mencuri maklumat berkaitan keselamatan negara dan teknologi canggih.
Isi kandungan
Pautan MirrorFace ke APT10
MirrorFace juga dirujuk sebagai Earth Kasha, dipercayai sebagai subkumpulan dalam pelakon ancaman APT10 yang terkenal. Kumpulan itu telah menyerang entiti Jepun secara sistematik, menggunakan alat canggih seperti ANEL, LODEINFO dan NOOPDOOR (juga dikenali sebagai HiddenFace) untuk mencapai objektifnya.
Spear-Phishing dan Pengembangan Sasaran
Penyelidik telah menemui butiran kempen pancingan lembing di mana MirrorFace menyasarkan individu dan organisasi di Jepun untuk menggunakan ANEL dan NOOPDOOR. Selama bertahun-tahun, operasi serupa telah diperhatikan menyasarkan entiti di Taiwan dan India, menunjukkan minat strategik kumpulan yang lebih luas.
Tiga Kempen Serangan Utama Dikenalpasti
Menurut NPA dan NCSC, aktiviti MirrorFace telah diklasifikasikan kepada tiga kempen utama:
- Kempen A (Disember 2019 – Julai 2023 ): Fasa ini memberi tumpuan kepada badan pemikir, agensi kerajaan, ahli politik dan organisasi media. Penyerang menggunakan e-mel spear-phishing untuk menghantar LODEINFO , NOOPDOOR dan versi tersuai Lilith RAT yang dikenali sebagai LilimRAT.
- Kempen B (Februari – Oktober 2023) : Dalam tempoh ini, MirrorFace mengalihkan tumpuannya kepada sektor semikonduktor, pembuatan, komunikasi, akademik dan aeroangkasa. Kumpulan itu mengeksploitasi kelemahan yang diketahui dalam peranti menghadap internet daripada Array Networks, Citrix, dan Fortinet untuk menyusup ke rangkaian dan menggunakan Cobalt Strike Beacon, LODEINFO dan NOOPDOOR.
- Kempen C (Dari Jun 2024): Serangan terbaharu menyasarkan ahli akademik, badan pemikir, ahli politik dan organisasi media. Penyerang terus menggunakan e-mel spear-phishing, kali ini untuk menghantar ANEL (juga dikenali sebagai UPPERCUT).
Teknik Pengelakan dan Komunikasi Tersembunyi
MirrorFace telah menggunakan teknik lanjutan untuk mengekalkan kegigihan dan mengelakkan pengesanan. Taktik yang ketara melibatkan penggunaan terowong jauh Kod Visual Studio untuk mewujudkan sambungan rahsia, membolehkan pelaku ancaman memintas pertahanan rangkaian dan mengekalkan kawalan jauh ke atas sistem yang terjejas.
Kotak Pasir Windows untuk Pelaksanaan Stealth
Penyiasat juga mendapati bahawa penyerang telah melaksanakan muatan yang mengancam dalam persekitaran Windows Sandbox. Pendekatan ini membolehkan perisian hasad beroperasi tanpa dikesan oleh perisian antivirus atau sistem Endpoint Detection and Response (EDR). Selain itu, sebaik sahaja komputer hos dimatikan atau dimulakan semula, semua kesan perisian hasad dipadamkan, tidak meninggalkan bukti forensik.
Ancaman Berterusan terhadap Keselamatan Negara
Taktik berterusan dan berkembang yang digunakan oleh MirrorFace menyerlahkan ancaman siber berterusan yang dihadapi Jepun. Dengan menyasarkan sektor kritikal dan menggunakan strategi pengelakan yang canggih, kumpulan itu terus menimbulkan cabaran serius kepada keselamatan negara dan kemajuan teknologi. Pihak berkuasa menggesa organisasi untuk terus berwaspada terhadap percubaan pancingan lembing dan mengukuhkan pertahanan keselamatan siber mereka terhadap ancaman yang berkembang.
