MirrorFace APT
Japonská Národná policajná agentúra (NPA) a Národné centrum pre pripravenosť na incidenty a stratégiu pre kybernetickú bezpečnosť (NCSC) obvinili aktéra hrozieb napojeného na Čínu známeho ako MirrorFace z organizovania dlhotrvajúcej kampane kybernetických útokov. Od roku 2019 sa skupina údajne zameriava na organizácie, podniky a jednotlivcov v celom Japonsku s cieľom ukradnúť informácie súvisiace s národnou bezpečnosťou a pokročilou technológiou.
Obsah
Odkazy MirrorFace na APT10
MirrorFace, tiež označovaný ako Earth Kasha, je považovaný za podskupinu v rámci známeho aktéra hrozby APT10 . Skupina systematicky útočila na japonské subjekty a na dosiahnutie svojich cieľov využívala sofistikované nástroje ako ANEL, LODEINFO a NOOPDOOR (tiež známy ako HiddenFace).
Spear-Phishing a Target Expansion
Výskumníci odhalili podrobnosti o spear-phishingovej kampani, v ktorej sa MirrorFace zameral na jednotlivcov a organizácie v Japonsku, aby nasadili ANEL a NOOPDOOR. V priebehu rokov boli pozorované podobné operácie zamerané na subjekty na Taiwane a v Indii, čo dokazuje širší strategický záujem skupiny.
Boli identifikované tri hlavné útočné kampane
Podľa NPA a NCSC boli aktivity MirrorFace rozdelené do troch hlavných kampaní:
- Kampaň A (december 2019 – júl 2023 ): Táto fáza sa zamerala na think-tanky, vládne agentúry, politikov a mediálne organizácie. Útočníci použili spear-phishingové e-maily na doručenie LODEINFO , NOOPDOOR a prispôsobenej verzie Lilith RAT známej ako LilimRAT.
- Kampaň B (február – október 2023) : Počas tohto obdobia MirrorFace presunul svoje zameranie na polovodičový, výrobný, komunikačný, akademický a letecký sektor. Skupina využila známe zraniteľnosti v zariadeniach pripojených k internetu od Array Networks, Citrix a Fortinet na infiltráciu sietí a nasadenie Cobalt Strike Beacon, LODEINFO a NOOPDOOR.
- Kampaň C (od júna 2024): Najnovšie útoky sa zamerali predovšetkým na akademickú obec, think-tanky, politikov a mediálne organizácie. Útočníci naďalej používajú spear-phishingové e-maily, tentoraz na doručenie ANEL (známy aj ako UPPERCUT).
Únikové techniky a skrytá komunikácia
MirrorFace využíva pokročilé techniky na udržanie perzistencie a vyhýbanie sa detekcii. Pozoruhodná taktika zahŕňa používanie vzdialených tunelov Visual Studio Code na vytvorenie skrytých spojení, čo umožňuje aktérom hrozby obísť obranu siete a udržiavať vzdialenú kontrolu nad napadnutými systémami.
Windows Sandbox pre utajené spustenie
Vyšetrovatelia tiež zistili, že útočníci vykonávali ohrozujúce užitočné zaťaženia v prostredí Windows Sandbox. Tento prístup umožňuje, aby malvér fungoval bez toho, aby bol detekovaný antivírusovým softvérom alebo systémami Endpoint Detection and Response (EDR). Navyše, akonáhle je hostiteľský počítač vypnutý alebo reštartovaný, všetky stopy škodlivého softvéru sa vymažú a nezanechajú po sebe žiadne forenzné dôkazy.
Pokračujúce ohrozenie národnej bezpečnosti
Pretrvávajúca a vyvíjajúca sa taktika, ktorú používa MirrorFace, poukazuje na pretrvávajúce kybernetické hrozby, ktorým Japonsko čelí. Zameraním sa na kritické sektory a využívaním sofistikovaných únikových stratégií skupina naďalej predstavuje vážnu výzvu pre národnú bezpečnosť a technologický pokrok. Úrady naliehajú na organizácie, aby zostali ostražité voči pokusom o spear-phishing a aby posilnili svoju kybernetickú bezpečnostnú obranu proti vyvíjajúcim sa hrozbám.
