MirrorFace APT
Јапанска национална полицијска агенција (НПА) и Национални центар за спремност за инциденте и стратегију за сајбер безбедност (НЦСЦ) оптужили су актера претњи повезаног са Кином познатог као МиррорФаце да је организовао дуготрајну кампању сајбер напада. Од 2019, група је наводно циљала организације, предузећа и појединце широм Јапана, са циљем да украде информације везане за националну безбедност и напредну технологију.
Преглед садржаја
МиррорФаце-ове везе до АПТ10
Верује се да је МиррорФаце, који се такође назива Еартх Касха, подгрупа у оквиру добро познатог актера претњи АПТ10 . Група је систематски нападала јапанске ентитете, користећи софистициране алате као што су АНЕЛ, ЛОДЕИНФО и НООПДООР (такође познат као ХидденФаце) да би постигла своје циљеве.
Спеар-пхисхинг и циљно проширење
Истраживачи су открили детаље спеар-пхисхинг кампање у којој је МиррорФаце циљао појединце и организације у Јапану да размјесте АНЕЛ и НООПДООР. Током година, примећене су сличне операције усмерене на ентитете на Тајвану и Индији, што показује шири стратешки интерес групе.
Идентификоване су три велике кампање напада
Према НПА и НЦСЦ, активности МиррорФаце-а су класификоване у три главне кампање:
- Кампања А (децембар 2019. – јул 2023. ): Ова фаза се фокусирала на тхинк танкове, владине агенције, политичаре и медијске организације. Нападачи су користили е-поруке за крађу идентитета да испоруче ЛОДЕИНФО , НООПДООР и прилагођену верзију Лилитх РАТ-а познату као ЛилимРАТ.
- Кампања Б (фебруар – октобар 2023.) : Током овог периода, МиррорФаце је померио свој фокус на сектор полупроводника, производње, комуникација, академског и ваздухопловног сектора. Група је искористила познате рањивости у уређајима који се налазе на Интернету из Арраи Нетворкс, Цитрик и Фортинет да би се инфилтрирала у мреже и применила Цобалт Стрике Беацон, ЛОДЕИНФО и НООПДООР.
- Кампања Ц (од јуна 2024.): Најновији напади су првенствено били усмерени на академску заједницу, трустове мозгова, политичаре и медијске организације. Нападачи настављају да користе е-поруке за крађу идентитета, овог пута за испоруку АНЕЛ-а (познатог и као УППЕРЦУТ).
Технике избегавања и тајне комуникације
МиррорФаце је користио напредне технике за одржавање постојаности и избегавање откривања. Значајна тактика укључује коришћење удаљених тунела Висуал Студио Цоде за успостављање тајних веза, омогућавајући актерима претњи да заобиђу одбрану мреже и задрже даљинску контролу над компромитованим системима.
Виндовс Сандбок за прикривено извршење
Истражитељи су такође открили да су нападачи извршавали претеће корисне податке у Виндовс Сандбок окружењу. Овај приступ омогућава малверу да ради без да га антивирусни софтвер или системи за откривање и одговор крајње тачке (ЕДР) открију. Штавише, када се главни рачунар искључи или поново покрене, сви трагови злонамерног софтвера се бришу, не остављајући за собом никакве форензичке доказе.
Текућа претња националној безбедности
Упорне и еволуирајуће тактике које користи МиррорФаце наглашавају текуће сајбер претње са којима се Јапан суочава. Циљајући критичне секторе и користећи софистициране стратегије избегавања, група наставља да представља озбиљан изазов националној безбедности и технолошком напретку. Власти позивају организације да остану будне против покушаја крађе идентитета и да ојачају своју одбрану сајбер-безбедности од растућих претњи.
