Rabattoffert för flera licenser
Hotdatabas Advanced Persistent Threat (APT) MirrorFace APT

MirrorFace APT

Med Mezo år Advanced Persistent Threat (APT), Skadlig programvara
Översätt till:
Svenska

Japans nationella polisbyrå (NPA) och National Center of Incident Readiness and Strategy for Cybersecurity (NCSC) har anklagat en hotaktör med anknytning till Kina känd som MirrorFace för att ha orkestrerat en långvarig cyberattackkampanj. Sedan 2019 har gruppen påstås ha riktat sig mot organisationer, företag och individer över hela Japan, i syfte att stjäla information relaterad till nationell säkerhet och avancerad teknologi.

MirrorFaces länkar till APT10

MirrorFace även kallad Earth Kasha, tros vara en undergrupp inom den välkända APT10- hotaktören. Gruppen har systematiskt attackerat japanska enheter och använt sofistikerade verktyg som ANEL, LODEINFO och NOOPDOOR (även känd som HiddenFace) för att uppnå sina mål.

Spear-phishing och målexpansion

Forskare har avslöjat detaljer om en spjutfiskekampanj där MirrorFace riktade in sig på individer och organisationer i Japan för att distribuera ANEL och NOOPDOOR. Under åren har liknande operationer observerats riktade mot enheter i Taiwan och Indien, vilket visar på gruppens bredare strategiska intresse.

Tre stora attackkampanjer identifierade

Enligt NPA och NCSC har MirrorFaces aktiviteter klassificerats i tre stora kampanjer:

  • Kampanj A (december 2019 – juli 2023 ): Denna fas fokuserade på tankesmedjor, statliga myndigheter, politiker och medieorganisationer. Angripare använde spear-phishing-e-postmeddelanden för att leverera LODEINFO , NOOPDOOR och en anpassad version av Lilith RAT känd som LilimRAT.
  • Kampanj B (februari – oktober 2023) : Under denna period flyttade MirrorFace sitt fokus till halvledar-, tillverknings-, kommunikations-, akademi- och flygsektorerna. Gruppen utnyttjade kända sårbarheter i internetanslutna enheter från Array Networks, Citrix och Fortinet för att infiltrera nätverk och distribuera Cobalt Strike Beacon, LODEINFO och NOOPDOOR.
  • Kampanj C (från juni 2024): De senaste attackerna har främst riktats mot akademi, tankesmedjor, politiker och medieorganisationer. Angriparna fortsätter att använda spear-phishing-e-postmeddelanden, denna gång för att leverera ANEL (även känd som UPPERCUT).

Undvikande tekniker och hemlig kommunikation

MirrorFace har använt avancerade tekniker för att bibehålla uthållighet och undvika upptäckt. En anmärkningsvärd taktik innebär att man använder Visual Studio Codes fjärrtunnlar för att upprätta hemliga anslutningar, vilket gör det möjligt för hotaktörer att kringgå nätverksförsvar och behålla fjärrkontroll över komprometterade system.

Windows Sandbox för en stealth-exekvering

Utredare upptäckte också att angripare har utfört hotfulla nyttolaster i Windows Sandbox-miljön. Detta tillvägagångssätt tillåter skadlig programvara att fungera utan att upptäckas av antivirusprogram eller Endpoint Detection and Response-system (EDR). Dessutom, när värddatorn stängs av eller startas om, raderas alla spår av skadlig programvara och lämnar inga kriminaltekniska bevis efter sig.

Pågående hot mot den nationella säkerheten

Den ihärdiga och utvecklande taktiken som används av MirrorFace belyser de pågående cyberhoten som Japan står inför. Genom att rikta in sig på kritiska sektorer och använda sofistikerade strategier för undanflykt fortsätter gruppen att utgöra en allvarlig utmaning för nationell säkerhet och tekniska framsteg. Myndigheterna uppmanar organisationer att förbli vaksamma mot spjutfiskeförsök och att stärka sina cybersäkerhetsförsvar mot föränderliga hot.

Trendigt

Mest sedda

Läser in...