MirrorFace APT
Национальное полицейское агентство Японии (NPA) и Национальный центр готовности к инцидентам и стратегии кибербезопасности (NCSC) обвинили связанного с Китаем субъекта угроз, известного как MirrorFace, в организации длительной кампании кибератак. С 2019 года группа предположительно нападала на организации, предприятия и отдельных лиц по всей Японии, стремясь украсть информацию, связанную с национальной безопасностью и передовыми технологиями.
Оглавление
Ссылки MirrorFace на APT10
MirrorFace, также известная как Earth Kasha, считается подгруппой внутри известного субъекта угроз APT10 . Группа систематически атаковала японские организации, используя сложные инструменты, такие как ANEL, LODEINFO и NOOPDOOR (также известную как HiddenFace), для достижения своих целей.
Целевой фишинг и расширение целевого назначения
Исследователи раскрыли подробности фишинговой кампании, в которой MirrorFace нацеливалась на отдельных лиц и организации в Японии, чтобы развернуть ANEL и NOOPDOOR. На протяжении многих лет наблюдались аналогичные операции, нацеленные на организации на Тайване и в Индии, что демонстрирует более широкий стратегический интерес группы.
Выявлены три основные кампании атак
По данным NPA и NCSC, деятельность MirrorFace можно разделить на три основные кампании:
- Кампания A (декабрь 2019 г. – июль 2023 г. ): Эта фаза была сосредоточена на аналитических центрах, правительственных учреждениях, политиках и медиаорганизациях. Злоумышленники использовали фишинговые письма для доставки LODEINFO , NOOPDOOR и настроенной версии Lilith RAT, известной как LilimRAT.
- Кампания B (февраль – октябрь 2023 г.) : в этот период MirrorFace переключила свое внимание на полупроводниковый, производственный, коммуникационный, академический и аэрокосмический секторы. Группа использовала известные уязвимости в устройствах с выходом в интернет от Array Networks, Citrix и Fortinet для проникновения в сети и развертывания Cobalt Strike Beacon, LODEINFO и NOOPDOOR.
- Кампания C (с июня 2024 г.): Последние атаки были направлены в первую очередь на академические круги, аналитические центры, политиков и медиаорганизации. Злоумышленники продолжают использовать фишинговые письма, на этот раз для доставки ANEL (также известного как UPPERCUT).
Методы уклонения и скрытые коммуникации
MirrorFace использует передовые методы для поддержания устойчивости и избежания обнаружения. Известная тактика включает использование удаленных туннелей Visual Studio Code для установления скрытых соединений, что позволяет злоумышленникам обходить сетевую защиту и сохранять удаленный контроль над скомпрометированными системами.
Песочница Windows для скрытного выполнения
Следователи также обнаружили, что злоумышленники запускали опасные полезные нагрузки в среде Windows Sandbox. Такой подход позволяет вредоносному ПО работать без обнаружения антивирусным ПО или системами Endpoint Detection and Response (EDR). Более того, после выключения или перезапуска хост-компьютера все следы вредоносного ПО стираются, не оставляя никаких криминалистических доказательств.
Постоянная угроза национальной безопасности
Постоянные и развивающиеся тактики, используемые MirrorFace, подчеркивают текущие киберугрозы, с которыми сталкивается Япония. Нацеливаясь на критические секторы и применяя сложные стратегии уклонения, группа продолжает представлять серьезную угрозу национальной безопасности и технологическому прогрессу. Власти призывают организации сохранять бдительность в отношении попыток целевого фишинга и укреплять свою киберзащиту от развивающихся угроз.
