MirrorFace APT
Japans nasjonale politibyrå (NPA) og National Centre of Incident Readiness and Strategy for Cybersecurity (NCSC) har anklaget en Kina-tilknyttet trusselaktør kjent som MirrorFace for å orkestrere en langvarig nettangrepskampanje. Siden 2019 har gruppen angivelig målrettet mot organisasjoner, bedrifter og enkeltpersoner over hele Japan, med sikte på å stjele informasjon relatert til nasjonal sikkerhet og avansert teknologi.
Innholdsfortegnelse
MirrorFaces lenker til APT10
MirrorFace også referert til som Earth Kasha, antas å være en undergruppe innenfor den velkjente APT10- trusselsaktøren. Gruppen har systematisk angrepet japanske enheter, ved å bruke sofistikerte verktøy som ANEL, LODEINFO og NOOPDOOR (også kjent som HiddenFace) for å nå sine mål.
Spear-phishing og målutvidelse
Forskere har avdekket detaljer om en spyd-phishing-kampanje der MirrorFace målrettet enkeltpersoner og organisasjoner i Japan for å distribuere ANEL og NOOPDOOR. Gjennom årene har lignende operasjoner blitt observert rettet mot enheter i Taiwan og India, noe som viser gruppens bredere strategiske interesse.
Tre store angrepskampanjer identifisert
I følge NPA og NCSC har MirrorFaces aktiviteter blitt klassifisert i tre store kampanjer:
- Kampanje A (desember 2019 – juli 2023 ): Denne fasen fokuserte på tenketanker, offentlige etater, politikere og medieorganisasjoner. Angripere brukte spear-phishing-e-poster for å levere LODEINFO , NOOPDOOR og en tilpasset versjon av Lilith RAT kjent som LilimRAT.
- Kampanje B (februar – oktober 2023) : I løpet av denne perioden flyttet MirrorFace fokus til halvleder-, produksjons-, kommunikasjons-, akademisk- og romfartssektorene. Gruppen utnyttet kjente sårbarheter i Internett-vendte enheter fra Array Networks, Citrix og Fortinet for å infiltrere nettverk og distribuere Cobalt Strike Beacon, LODEINFO og NOOPDOOR.
- Kampanje C (Fra juni 2024): De siste angrepene har først og fremst rettet seg mot akademia, tenketanker, politikere og medieorganisasjoner. Angriperne fortsetter å bruke spear-phishing-e-poster, denne gangen for å levere ANEL (også kjent som UPPERCUT).
Unngåelsesteknikker og skjult kommunikasjon
MirrorFace har brukt avanserte teknikker for å opprettholde utholdenhet og unngå gjenkjenning. En bemerkelsesverdig taktikk innebærer å bruke Visual Studio Code-fjerntunneler for å etablere skjulte forbindelser, slik at trusselaktører kan omgå nettverksforsvar og opprettholde fjernkontroll over kompromitterte systemer.
Windows Sandbox for en stealth-kjøring
Etterforskere oppdaget også at angripere har utført truende nyttelast i Windows Sandbox-miljøet. Denne tilnærmingen lar skadelig programvare fungere uten å bli oppdaget av antivirusprogramvare eller Endpoint Detection and Response (EDR)-systemer. Dessuten, når vertsdatamaskinen er slått av eller startet på nytt, blir alle spor av skadelig programvare slettet, og etterlater ingen rettsmedisinske bevis.
Pågående trussel mot nasjonal sikkerhet
Den vedvarende og utviklende taktikken som brukes av MirrorFace fremhever de pågående cybertruslene som Japan står overfor. Ved å målrette kritiske sektorer og bruke sofistikerte unnvikelsesstrategier, fortsetter gruppen å utgjøre en alvorlig utfordring for nasjonal sikkerhet og teknologiske fremskritt. Myndighetene oppfordrer organisasjoner til å være på vakt mot spyd-phishing-forsøk og å styrke deres cybersikkerhetsforsvar mot trusler i utvikling.
