MirrorFace APT
Agenția Națională de Poliție (NPA) din Japonia și Centrul Național de Pregătire a Incidentelor și Strategie pentru Securitate Cibernetică (NCSC) au acuzat un actor de amenințări legat de China, cunoscut sub numele de MirrorFace, că a orchestrat o campanie de atac cibernetic de lungă durată. Din 2019, grupul ar fi vizat organizații, companii și persoane din Japonia, cu scopul de a fura informații legate de securitatea națională și tehnologia avansată.
Cuprins
Linkurile lui MirrorFace către APT10
MirrorFace, denumit și Earth Kasha, este considerat a fi un subgrup din binecunoscutul actor de amenințare APT10 . Grupul a atacat sistematic entități japoneze, folosind instrumente sofisticate precum ANEL, LODEINFO și NOOPDOOR (cunoscut și ca HiddenFace) pentru a-și atinge obiectivele.
Spear-Phishing și extinderea țintei
Cercetătorii au descoperit detalii despre o campanie de spear-phishing în care MirrorFace a vizat indivizi și organizații din Japonia pentru a implementa ANEL și NOOPDOOR. De-a lungul anilor, au fost observate operațiuni similare care vizează entități din Taiwan și India, demonstrând interesul strategic mai larg al grupului.
Au fost identificate trei campanii de atac majore
Potrivit NPA și NCSC, activitățile MirrorFace au fost clasificate în trei campanii majore:
- Campania A (decembrie 2019 – iulie 2023 ): Această fază sa concentrat pe grupuri de reflecție, agenții guvernamentale, politicieni și organizații media. Atacatorii au folosit e-mailuri de tip spear-phishing pentru a livra LODEINFO , NOOPDOOR și o versiune personalizată a Lilith RAT cunoscută sub numele de LilimRAT.
- Campania B (februarie – octombrie 2023) : În această perioadă, MirrorFace și-a mutat atenția către sectoarele semiconductoare, producție, comunicații, academic și aerospațial. Grupul a exploatat vulnerabilitățile cunoscute ale dispozitivelor conectate la internet de la Array Networks, Citrix și Fortinet pentru a se infiltra în rețele și a implementa Cobalt Strike Beacon, LODEINFO și NOOPDOOR.
- Campania C (din iunie 2024): Cele mai recente atacuri au vizat în primul rând mediul academic, grupurile de reflecție, politicienii și organizațiile media. Atacatorii continuă să folosească e-mailuri de tip spear-phishing, de data aceasta pentru a livra ANEL (cunoscut și ca UPPERCUT).
Tehnici de evaziune și comunicații ascunse
MirrorFace a folosit tehnici avansate pentru a menține persistența și pentru a evita detectarea. O tactică notabilă implică utilizarea tunelurilor la distanță Visual Studio Code pentru a stabili conexiuni ascunse, permițând actorilor amenințări să ocolească apărarea rețelei și să mențină controlul de la distanță asupra sistemelor compromise.
Windows Sandbox pentru o execuție stealth
Anchetatorii au descoperit, de asemenea, că atacatorii au executat sarcini utile amenințătoare în mediul Windows Sandbox. Această abordare permite malware-ului să funcționeze fără a fi detectat de software-ul antivirus sau de sistemele Endpoint Detection and Response (EDR). Mai mult, odată ce computerul gazdă este oprit sau repornit, toate urmele malware-ului sunt șterse, fără a lăsa dovezi criminalistice în urmă.
Amenințare continuă la adresa securității naționale
Tacticile persistente și evolutive utilizate de MirrorFace evidențiază amenințările cibernetice în curs cu care se confruntă Japonia. Prin țintirea sectoarelor critice și prin utilizarea unor strategii sofisticate de evaziune, grupul continuă să reprezinte o provocare serioasă pentru securitatea națională și progresele tehnologice. Autoritățile îndeamnă organizațiile să rămână vigilente împotriva tentativelor de phishing și să-și consolideze apărările de securitate cibernetică împotriva amenințărilor în evoluție.
