MirrorFace APT

जापानको नेशनल पुलिस एजेन्सी (NPA) र साइबरसुरक्षाका लागि राष्ट्रिय घटना तयारी र रणनीति (NCSC) ले लामो समयदेखि चलिरहेको साइबर आक्रमण अभियानलाई मिररफेस भनेर चिनिने चीनसँग सम्बन्धित खतरा अभिनेतालाई आरोप लगाएको छ। 2019 देखि, समूहले कथित रूपमा जापानभरका संगठनहरू, व्यवसायहरू र व्यक्तिहरूलाई लक्षित गरी राष्ट्रिय सुरक्षा र उन्नत प्रविधिसँग सम्बन्धित जानकारी चोर्ने लक्ष्य राखेको छ।

APT10 मा MirrorFace को लिङ्कहरू

मिररफेसलाई अर्थ काशा पनि भनिन्छ, प्रसिद्ध APT10 खतरा अभिनेता भित्रको उपसमूह मानिन्छ। समूहले आफ्ना उद्देश्यहरू प्राप्त गर्न ANEL, LODEINFO, र NOOPDOOR (जसलाई हिडनफेस पनि भनिन्छ) जस्ता परिष्कृत उपकरणहरू प्रयोग गरी जापानी संस्थाहरूलाई व्यवस्थित रूपमा आक्रमण गरेको छ।

भाला-फिसिङ र लक्ष्य विस्तार

अन्वेषकहरूले भाला-फिसिङ अभियानको विवरणहरू पत्ता लगाएका छन् जसमा मिररफेसले जापानमा ANEL र NOOPDOOR प्रयोग गर्न व्यक्ति र संस्थाहरूलाई लक्षित गरेको थियो। वर्षौंदेखि, समूहको बृहत्तर रणनीतिक चासोलाई प्रदर्शन गर्दै, ताइवान र भारतमा संस्थाहरूलाई लक्षित गर्दै समान कार्यहरू अवलोकन गरिएको छ।

तीन प्रमुख आक्रमण अभियानहरू पहिचान गरियो

NPA र NCSC अनुसार, MirrorFace का गतिविधिहरूलाई तीन प्रमुख अभियानहरूमा वर्गीकृत गरिएको छ:

• अभियान A (डिसेम्बर 2019 - जुलाई 2023 ): यो चरण विचार ट्याङ्क, सरकारी एजेन्सीहरू, राजनीतिज्ञहरू, र मिडिया संगठनहरूमा केन्द्रित थियो। आक्रमणकारीहरूले LODEINFO , NOOPDOOR, र LilimRAT भनेर चिनिने Lilith RAT को अनुकूलित संस्करण डेलिभर गर्न भाला-फिसिङ इमेलहरू प्रयोग गरे।
• अभियान B (फेब्रुअरी – अक्टोबर २०२३) : यस अवधिमा, मिररफेसले आफ्नो फोकस अर्धचालक, निर्माण, सञ्चार, शैक्षिक र एयरोस्पेस क्षेत्रहरूमा सार्यो। समूहले नेटवर्कहरू घुसपैठ गर्न र कोबाल्ट स्ट्राइक बीकन, LODEINFO, र NOOPDOOR प्रयोग गर्न Array Networks, Citrix, र Fortinet बाट इन्टरनेट-फेसिङ उपकरणहरूमा ज्ञात कमजोरीहरूको शोषण गर्‍यो।
• अभियान C (जुन 2024 देखि): हालैका आक्रमणहरूले मुख्य रूपमा शिक्षाविद्, थिंक ट्याङ्क, राजनीतिज्ञ र मिडिया संगठनहरूलाई लक्षित गरेको छ। आक्रमणकारीहरूले भाला-फिसिङ इमेलहरू प्रयोग गर्न जारी राख्छन्, यस पटक ANEL (UPPERCUT पनि भनिन्छ) डेलिभर गर्न।

चोरी प्रविधि र गुप्त संचार

मिररफेसले दृढता कायम राख्न र पत्ता लगाउनबाट बच्न उन्नत प्रविधिहरू प्रयोग गरेको छ। एउटा उल्लेखनीय कार्यनीतिमा गुप्त जडानहरू स्थापना गर्न भिजुअल स्टुडियो कोड रिमोट टनेलहरू प्रयोग गरी नेटवर्क प्रतिरक्षाहरू बाइपास गर्न र सम्झौता प्रणालीहरूमा रिमोट कन्ट्रोल कायम राख्न खतरा अभिनेताहरूलाई सक्षम पार्ने समावेश छ।

स्टिल्थ कार्यान्वयनको लागि विन्डोज स्यान्डबक्स

अन्वेषकहरूले यो पनि पत्ता लगाए कि आक्रमणकारीहरूले Windows Sandbox वातावरण भित्र धम्कीपूर्ण पेलोडहरू कार्यान्वयन गरिरहेका छन्। यो दृष्टिकोणले मालवेयरलाई एन्टिभाइरस सफ्टवेयर वा एन्डपोइन्ट डिटेक्शन एन्ड रेस्पोन्स (EDR) प्रणालीहरूद्वारा पत्ता नलाइकन सञ्चालन गर्न अनुमति दिन्छ। यसबाहेक, एक पटक होस्ट कम्प्युटर बन्द वा पुन: सुरु भएपछि, मालवेयरका सबै निशानहरू मेटाइन्छ, पछाडि कुनै फोरेंसिक प्रमाणहरू छोडेर।

राष्ट्रिय सुरक्षाको लागि निरन्तर खतरा

मिररफेस द्वारा प्रयोग गरिएको निरन्तर र विकसित रणनीतिहरूले जापानले सामना गरिरहेको साइबर खतराहरूलाई हाइलाइट गर्दछ। महत्वपूर्ण क्षेत्रहरूलाई लक्षित गरेर र परिष्कृत चोरी रणनीतिहरू प्रयोग गरेर, समूहले राष्ट्रिय सुरक्षा र प्राविधिक विकासहरूका लागि गम्भीर चुनौती खडा गरिरहेको छ। अधिकारीहरूले संगठनहरूलाई भाला-फिसिङ प्रयासहरू विरुद्ध सतर्क रहन र विकसित खतराहरू विरुद्ध तिनीहरूको साइबर सुरक्षा प्रतिरक्षालाई बलियो बनाउन आग्रह गर्दछ।