Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Ameaça Persistente Avançada (APT) MirrorFace APT

MirrorFace APT

Por Mezo em Ameaça Persistente Avançada (APT), Malware
Traduzir Para:
Português

A Agência Nacional de Polícia do Japão (NPA) e o Centro Nacional de Preparação para Incidentes e Estratégia para Segurança Cibernética (NCSC) acusaram um agente de ameaça ligado à China conhecido como MirrorFace de orquestrar uma campanha de ataque cibernético de longa duração. Desde 2019, o grupo supostamente tem como alvo organizações, empresas e indivíduos em todo o Japão, com o objetivo de roubar informações relacionadas à segurança nacional e tecnologia avançada.

Os Links do MirrorFace com o APT10

MirrorFace, também conhecido como Earth Kasha, acredita-se ser um subgrupo dentro do conhecido ator de ameaça APT10 . O grupo atacou sistematicamente entidades japonesas, empregando ferramentas sofisticadas como ANEL, LODEINFO e NOOPDOOR (também conhecido como HiddenFace) para atingir seus objetivos.

Spear-Phishing e Expansão de Alvos

Pesquisadores descobriram detalhes de uma campanha de spear-phishing na qual o MirrorFace tinha como alvo indivíduos e organizações no Japão para implantar ANEL e NOOPDOOR. Ao longo dos anos, operações semelhantes foram observadas visando entidades em Taiwan e na Índia, demonstrando o interesse estratégico mais amplo do grupo.

Três Grandes Campanhas de Ataque Identificadas

De acordo com a NPA e a NCSC, as atividades da MirrorFace foram classificadas em três grandes campanhas:

  • Campanha A (dezembro de 2019 – julho de 2023 ): Esta fase focou em think tanks, agências governamentais, políticos e organizações de mídia. Os invasores usaram e-mails de spear-phishing para entregar LODEINFO , NOOPDOOR e uma versão personalizada do Lilith RAT conhecida como LilimRAT.
  • Campanha B (fevereiro – outubro de 2023) : Durante esse período, o MirrorFace mudou seu foco para os setores de semicondutores, manufatura, comunicações, acadêmico e aeroespacial. O grupo explorou vulnerabilidades conhecidas em dispositivos voltados para a internet da Array Networks, Citrix e Fortinet para se infiltrar em redes e implantar Cobalt Strike Beacon, LODEINFO e NOOPDOOR.
  • Campanha C (de junho de 2024): Os ataques mais recentes têm como alvo principal a academia, think tanks, políticos e organizações de mídia. Os invasores continuam a usar e-mails de spear-phishing, desta vez para entregar ANEL (também conhecido como UPPERCUT).

Técnicas de Evasão e Comunicações Secretas

O MirrorFace empregou técnicas avançadas para manter a persistência e evitar a detecção. Uma tática notável envolve usar túneis remotos do Visual Studio Code para estabelecer conexões secretas, permitindo que os agentes de ameaças contornem as defesas da rede e mantenham o controle remoto sobre os sistemas comprometidos.

Sandbox do Windows para uma Execução Furtiva

Os investigadores também descobriram que os invasores estavam executando payloads ameaçadores dentro do ambiente Windows Sandbox. Essa abordagem permite que o malware opere sem ser detectado por software antivírus ou sistemas Endpoint Detection and Response (EDR). Além disso, uma vez que o computador host é desligado ou reiniciado, todos os vestígios do malware são apagados, não deixando nenhuma evidência forense para trás.

A Ameaça Contínua à Segurança Nacional

As táticas persistentes e em evolução usadas pelo MirrorFace destacam as ameaças cibernéticas contínuas que o Japão enfrenta. Ao mirar setores críticos e empregar estratégias de evasão sofisticadas, o grupo continua a representar um sério desafio à segurança nacional e aos avanços tecnológicos. As autoridades pedem que as organizações permaneçam vigilantes contra tentativas de spear-phishing e fortaleçam suas defesas de segurança cibernética contra ameaças em evolução.

Tendendo

Mais visto

Carregando...