MirrorFace APT
Japońska Narodowa Agencja Policji (NPA) i Narodowe Centrum Gotowości Incydentalnej i Strategii Cyberbezpieczeństwa (NCSC) oskarżyły powiązanego z Chinami aktora zagrożeń znanego jako MirrorFace o zorganizowanie długotrwałej kampanii cyberataków. Od 2019 r. grupa rzekomo atakowała organizacje, firmy i osoby w całej Japonii, mając na celu kradzież informacji związanych z bezpieczeństwem narodowym i zaawansowaną technologią.
Spis treści
Linki MirrorFace’a do APT10
MirrorFace, znany również jako Earth Kasha, jest uważany za podgrupę w ramach znanego aktora zagrożeń APT10 . Grupa systematycznie atakowała japońskie podmioty, wykorzystując zaawansowane narzędzia, takie jak ANEL, LODEINFO i NOOPDOOR (znany również jako HiddenFace), aby osiągnąć swoje cele.
Spear-Phishing i ekspansja celu
Badacze odkryli szczegóły kampanii spear-phishing, w której MirrorFace atakował osoby i organizacje w Japonii, aby wdrożyć ANEL i NOOPDOOR. Na przestrzeni lat obserwowano podobne operacje skierowane przeciwko podmiotom na Tajwanie i w Indiach, co dowodzi szerszego zainteresowania strategicznego grupy.
Zidentyfikowano trzy główne kampanie ataków
Według NPA i NCSC działania MirrorFace można podzielić na trzy główne kampanie:
- Kampania A (grudzień 2019 – lipiec 2023 ): Ta faza skupiała się na think tankach, agencjach rządowych, politykach i organizacjach medialnych. Atakujący używali e-maili spear-phishingowych, aby dostarczać LODEINFO , NOOPDOOR i dostosowaną wersję Lilith RAT znaną jako LilimRAT.
- Kampania B (luty – październik 2023 r.) : W tym okresie MirrorFace przeniosło swoją uwagę na sektory półprzewodników, produkcji, komunikacji, nauki i lotnictwa. Grupa wykorzystała znane luki w zabezpieczeniach urządzeń z dostępem do Internetu od Array Networks, Citrix i Fortinet, aby zinfiltrować sieci i wdrożyć Cobalt Strike Beacon, LODEINFO i NOOPDOOR.
- Kampania C (od czerwca 2024 r.): Ostatnie ataki były skierowane głównie na środowisko akademickie, think tanki, polityków i organizacje medialne. Atakujący nadal używają e-maili typu spear-phishing, tym razem w celu dostarczenia ANEL (znanego również jako UPPERCUT).
Techniki unikania i tajna komunikacja
MirrorFace zastosował zaawansowane techniki, aby utrzymać trwałość i uniknąć wykrycia. Godna uwagi taktyka polega na użyciu zdalnych tuneli Visual Studio Code do nawiązywania tajnych połączeń, umożliwiając atakującym omijanie zabezpieczeń sieciowych i utrzymywanie zdalnej kontroli nad zagrożonymi systemami.
Windows Sandbox do ukrytego wykonywania
Śledczy odkryli również, że atakujący wykonywali groźne ładunki w środowisku Windows Sandbox. Takie podejście pozwala złośliwemu oprogramowaniu działać bez wykrycia przez oprogramowanie antywirusowe lub systemy Endpoint Detection and Response (EDR). Co więcej, po wyłączeniu lub ponownym uruchomieniu komputera hosta wszystkie ślady złośliwego oprogramowania zostają usunięte, nie pozostawiając żadnych dowodów kryminalistycznych.
Ciągłe zagrożenie dla bezpieczeństwa narodowego
Uporczywe i ewoluujące taktyki stosowane przez MirrorFace podkreślają bieżące cyberzagrożenia, z którymi mierzy się Japonia. Poprzez atakowanie sektorów krytycznych i stosowanie wyrafinowanych strategii unikania, grupa nadal stanowi poważne wyzwanie dla bezpieczeństwa narodowego i postępu technologicznego. Władze wzywają organizacje do zachowania czujności wobec prób spear-phishingu i wzmocnienia swoich zabezpieczeń cyberbezpieczeństwa przed ewoluującymi zagrożeniami.
