Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Geavanceerde aanhoudende dreiging (APT) MirrorFace APT

MirrorFace APT

Tegen Mezo in Geavanceerde aanhoudende dreiging (APT), Malware
Vertalen naar:
Nederlands

De Japanse National Police Agency (NPA) en het National Center of Incident Readiness and Strategy for Cybersecurity (NCSC) hebben een aan China gelinkte dreigingsactor, bekend als MirrorFace, beschuldigd van het orkestreren van een langlopende cyberaanvalscampagne. Sinds 2019 zou de groep organisaties, bedrijven en individuen in heel Japan hebben aangevallen, met als doel informatie te stelen met betrekking tot nationale veiligheid en geavanceerde technologie.

MirrorFace’s links naar APT10

MirrorFace, ook wel Earth Kasha genoemd, wordt gezien als een subgroep binnen de bekende APT10- bedreigingsactor. De groep heeft systematisch Japanse entiteiten aangevallen, waarbij geavanceerde tools zoals ANEL, LODEINFO en NOOPDOOR (ook bekend als HiddenFace) werden gebruikt om zijn doelen te bereiken.

Spear-phishing en doeluitbreiding

Onderzoekers hebben details ontdekt van een spear-phishingcampagne waarin MirrorFace individuen en organisaties in Japan targette om ANEL en NOOPDOOR te implementeren. In de loop der jaren zijn soortgelijke operaties waargenomen die gericht waren op entiteiten in Taiwan en India, wat de bredere strategische interesse van de groep aantoont.

Drie grote aanvalscampagnes geïdentificeerd

Volgens de NPA en NCSC zijn de activiteiten van MirrorFace ingedeeld in drie grote campagnes:

  • Campagne A (december 2019 – juli 2023 ): Deze fase richtte zich op denktanks, overheidsinstanties, politici en mediaorganisaties. Aanvallers gebruikten spear-phishing-e-mails om LODEINFO , NOOPDOOR en een aangepaste versie van Lilith RAT, bekend als LilimRAT, te bezorgen.
  • Campagne B (februari - oktober 2023) : Gedurende deze periode verlegde MirrorFace zijn focus naar de halfgeleider-, productie-, communicatie-, academische en lucht- en ruimtevaartsectoren. De groep exploiteerde bekende kwetsbaarheden in internetgerichte apparaten van Array Networks, Citrix en Fortinet om netwerken te infiltreren en Cobalt Strike Beacon, LODEINFO en NOOPDOOR te implementeren.
  • Campagne C (vanaf juni 2024): De meest recente aanvallen waren voornamelijk gericht op de academische wereld, denktanks, politici en mediaorganisaties. De aanvallers blijven spear-phishing-e-mails gebruiken, dit keer om ANEL (ook bekend als UPPERCUT) te leveren.

Ontwijkingstechnieken en geheime communicatie

MirrorFace heeft geavanceerde technieken gebruikt om persistentie te behouden en detectie te voorkomen. Een opvallende tactiek is het gebruik van Visual Studio Code remote tunnels om geheime verbindingen tot stand te brengen, waardoor dreigingsactoren netwerkverdedigingen kunnen omzeilen en externe controle over gecompromitteerde systemen kunnen behouden.

Windows Sandbox voor een stealth-uitvoering

Onderzoekers ontdekten ook dat aanvallers bedreigende payloads uitvoeren binnen de Windows Sandbox-omgeving. Deze aanpak zorgt ervoor dat de malware kan werken zonder te worden gedetecteerd door antivirussoftware of Endpoint Detection and Response (EDR)-systemen. Bovendien worden alle sporen van de malware gewist zodra de hostcomputer wordt afgesloten of opnieuw wordt opgestart, zodat er geen forensisch bewijs achterblijft.

Voortdurende bedreiging voor de nationale veiligheid

De aanhoudende en evoluerende tactieken die MirrorFace gebruikt, benadrukken de voortdurende cyberdreigingen waarmee Japan te maken heeft. Door kritieke sectoren aan te vallen en geavanceerde ontwijkingsstrategieën te gebruiken, blijft de groep een serieuze uitdaging vormen voor de nationale veiligheid en technologische vooruitgang. Autoriteiten dringen er bij organisaties op aan waakzaam te blijven tegen spear-phishingpogingen en hun cyberbeveiligingsverdedigingen tegen evoluerende bedreigingen te versterken.

Trending

Meest bekeken

Bezig met laden...