Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Kërcënimi i avancuar i vazhdueshëm (APT) MirrorFace APT

MirrorFace APT

Nga MezoKërcënimi i avancuar i vazhdueshëm (APT), Malware
Përkthe në:
Shqip

Agjencia Kombëtare e Policisë së Japonisë (NPA) dhe Qendra Kombëtare e Gatishmërisë për Incidente dhe Strategjisë për Sigurinë Kibernetike (NCSC) kanë akuzuar një aktor kërcënimi të lidhur me Kinën i njohur si MirrorFace për orkestrimin e një fushate të gjatë sulmi kibernetik. Që nga viti 2019, grupi dyshohet se ka shënjestruar organizata, biznese dhe individë në të gjithë Japoninë, duke synuar të vjedhë informacione në lidhje me sigurinë kombëtare dhe teknologjinë e përparuar.

Lidhjet e MirrorFace me APT10

MirrorFace i referuar gjithashtu si Earth Kasha, besohet të jetë një nëngrup brenda aktorit të njohur të kërcënimit APT10 . Grupi ka sulmuar sistematikisht entitetet japoneze, duke përdorur mjete të sofistikuara si ANEL, LODEINFO dhe NOOPDOOR (i njohur edhe si HiddenFace) për të arritur objektivat e tij.

Spear-Phishing dhe zgjerimi i synimeve

Studiuesit kanë zbuluar detaje të një fushate spear-phishing në të cilën MirrorFace synonte individë dhe organizata në Japoni për të vendosur ANEL dhe NOOPDOOR. Gjatë viteve, operacione të ngjashme janë vërejtur duke synuar subjekte në Tajvan dhe Indi, duke demonstruar interesin më të gjerë strategjik të grupit.

Identifikuar tre fushata të mëdha sulmi

Sipas NPA dhe NCSC, aktivitetet e MirrorFace janë klasifikuar në tre fushata kryesore:

  • Fushata A (dhjetor 2019 – korrik 2023 ): Kjo fazë u fokusua në grupet e mendimit, agjencitë qeveritare, politikanët dhe organizatat mediatike. Sulmuesit përdorën email-e spear-phishing për të shpërndarë LODEINFO , NOOPDOOR dhe një version të personalizuar të Lilith RAT të njohur si LilimRAT.
  • Fushata B (shkurt - tetor 2023) : Gjatë kësaj periudhe, MirrorFace e zhvendosi fokusin e saj në sektorët e gjysmëpërçuesve, prodhimit, komunikimit, akademik dhe hapësirës ajrore. Grupi shfrytëzoi dobësitë e njohura në pajisjet që përballen me internetin nga Array Networks, Citrix dhe Fortinet për të depërtuar në rrjete dhe për të vendosur Cobalt Strike Beacon, LODEINFO dhe NOOPDOOR.
  • Fushata C (Nga qershori 2024): Sulmet më të fundit kanë synuar kryesisht akademinë, grupet e mendimit, politikanët dhe organizatat e medias. Sulmuesit vazhdojnë të përdorin email-e spear-phishing, këtë herë për të ofruar ANEL (i njohur edhe si UPPERCUT).

Teknikat e Evazionit dhe Komunikimet e Fshehta

MirrorFace ka përdorur teknika të avancuara për të ruajtur qëndrueshmërinë dhe për të shmangur zbulimin. Një taktikë e dukshme përfshin përdorimin e tuneleve të largëta të Visual Studio Code për të krijuar lidhje të fshehta, duke u mundësuar aktorëve të kërcënimit të anashkalojnë mbrojtjen e rrjetit dhe të mbajnë kontrollin në distancë mbi sistemet e komprometuara.

Windows Sandbox për një ekzekutim të fshehtë

Hetuesit zbuluan gjithashtu se sulmuesit kanë ekzekutuar ngarkesa kërcënuese brenda mjedisit të Windows Sandbox. Kjo qasje lejon që malware të funksionojë pa u zbuluar nga softueri antivirus ose sistemet e Zbulimit dhe Përgjigjes së Fundit (EDR). Për më tepër, pasi kompjuteri pritës mbyllet ose riniset, të gjitha gjurmët e malware fshihen, duke mos lënë pas asnjë provë mjeko-ligjore.

Kërcënimi i vazhdueshëm për Sigurinë Kombëtare

Taktikat e vazhdueshme dhe në zhvillim të përdorura nga MirrorFace nxjerrin në pah kërcënimet e vazhdueshme kibernetike me të cilat përballet Japonia. Duke synuar sektorë kritikë dhe duke përdorur strategji të sofistikuara evazioni, grupi vazhdon të paraqesë një sfidë serioze për sigurinë kombëtare dhe përparimet teknologjike. Autoritetet u bëjnë thirrje organizatave që të qëndrojnë vigjilente kundër përpjekjeve për phishing dhe të forcojnë mbrojtjen e tyre të sigurisë kibernetike kundër kërcënimeve në zhvillim.

Në trend

Më e shikuara

Po ngarkohet...