MirrorFace APT
Japonska nacionalna policijska agencija (NPA) in Nacionalni center za pripravljenost na incidente in strategijo za kibernetsko varnost (NCSC) sta obtožila akterja groženj, povezanega s Kitajsko, znanega kot MirrorFace, da je orkestriral dolgotrajno kampanjo kibernetskih napadov. Od leta 2019 je skupina domnevno ciljala na organizacije, podjetja in posameznike po vsej Japonski, da bi ukradla informacije v zvezi z nacionalno varnostjo in napredno tehnologijo.
Kazalo
Povezave MirrorFace do APT10
MirrorFace, imenovan tudi Earth Kasha, naj bi bil podskupina znotraj dobro znanega akterja groženj APT10 . Skupina je sistematično napadala japonske subjekte in za dosego svojih ciljev uporabljala sofisticirana orodja, kot so ANEL, LODEINFO in NOOPDOOR (znana tudi kot HiddenFace).
Lažno predstavljanje in ciljna razširitev
Raziskovalci so odkrili podrobnosti kampanje lažnega predstavljanja, v kateri je MirrorFace ciljal na posameznike in organizacije na Japonskem, da bi uporabili ANEL in NOOPDOOR. V preteklih letih so opazili podobne operacije, namenjene subjektom v Tajvanu in Indiji, kar kaže na širši strateški interes skupine.
Identificirane tri velike napadalne akcije
Glede na NPA in NCSC so bile dejavnosti MirrorFace razvrščene v tri glavne kampanje:
- Kampanja A (december 2019 – julij 2023 ): ta faza je bila osredotočena na možganske truste, vladne agencije, politike in medijske organizacije. Napadalci so uporabili lažna e-poštna sporočila za dostavo LODEINFO , NOOPDOOR in prilagojene različice Lilith RAT , znane kot LilimRAT.
- Kampanja B (februar – oktober 2023) : V tem obdobju se je MirrorFace osredotočil na polprevodniški, proizvodni, komunikacijski, akademski in vesoljski sektor. Skupina je izkoristila znane ranljivosti v internetnih napravah Array Networks, Citrix in Fortinet za infiltracijo v omrežja in uvedbo Cobalt Strike Beacon, LODEINFO in NOOPDOOR.
- Kampanja C (od junija 2024): Najnovejši napadi so bili usmerjeni predvsem na akademijo, možganske truste, politike in medijske organizacije. Napadalci še naprej uporabljajo e-poštna sporočila za lažno predstavljanje, tokrat za dostavo ANEL (znan tudi kot UPPERCUT).
Tehnike utaje in prikrite komunikacije
MirrorFace je uporabil napredne tehnike za ohranjanje obstojnosti in izogibanje odkrivanju. Pomembna taktika vključuje uporabo oddaljenih tunelov Visual Studio Code za vzpostavitev prikritih povezav, ki akterjem groženj omogočajo, da obidejo obrambo omrežja in ohranijo daljinski nadzor nad ogroženimi sistemi.
Windows Sandbox za prikrito izvajanje
Preiskovalci so odkrili tudi, da so napadalci izvajali grožnje v okolju Windows Sandbox. Ta pristop omogoča, da zlonamerna programska oprema deluje, ne da bi jo zaznala protivirusna programska oprema ali sistemi za zaznavanje in odziv končne točke (EDR). Poleg tega se po izklopu ali ponovnem zagonu gostiteljskega računalnika izbrišejo vse sledi zlonamerne programske opreme in za seboj ne ostane noben forenzični dokaz.
Stalna grožnja nacionalni varnosti
Vztrajne in razvijajoče se taktike, ki jih uporablja MirrorFace, poudarjajo nenehne kibernetske grožnje, s katerimi se sooča Japonska. Z usmerjanjem v kritične sektorje in uporabo prefinjenih strategij izogibanja skupina še naprej predstavlja resen izziv nacionalni varnosti in tehnološkemu napredku. Oblasti pozivajo organizacije, naj ostanejo previdne pred poskusi lažnega predstavljanja in okrepijo svojo kibernetsko varnost pred razvijajočimi se grožnjami.
