MirrorFace APT

ஜப்பானின் தேசிய போலீஸ் ஏஜென்சி (NPA) மற்றும் சைபர் பாதுகாப்புக்கான தேசிய மையம் மற்றும் சைபர் செக்யூரிட்டிக்கான தேசிய மையம் (NCSC) ஆகியவை சீனாவுடன் தொடர்புடைய மிரர்ஃபேஸ் எனப்படும் அச்சுறுத்தல் நடிகர் நீண்டகால சைபர் தாக்குதல் பிரச்சாரத்தை திட்டமிட்டதாக குற்றம் சாட்டியுள்ளன. 2019 முதல், குழுவானது ஜப்பான் முழுவதும் உள்ள நிறுவனங்கள், வணிகங்கள் மற்றும் தனிநபர்களை குறிவைத்து, தேசிய பாதுகாப்பு மற்றும் மேம்பட்ட தொழில்நுட்பம் தொடர்பான தகவல்களைத் திருடுவதை நோக்கமாகக் கொண்டுள்ளது.

APT10க்கான MirrorFace இன் இணைப்புகள்

மிரர்ஃபேஸ் எர்த் காஷா என்றும் குறிப்பிடப்படுகிறது, இது நன்கு அறியப்பட்ட APT10 அச்சுறுத்தல் நடிகருக்குள் ஒரு துணைக்குழு என்று நம்பப்படுகிறது. குழுவானது ஜப்பானிய நிறுவனங்களை திட்டமிட்டு தாக்கியது, அதன் நோக்கங்களை அடைய ANEL, LODEINFO மற்றும் NOOPDOOR (HiddenFace என்றும் அழைக்கப்படுகிறது) போன்ற அதிநவீன கருவிகளைப் பயன்படுத்துகிறது.

ஸ்பியர்-ஃபிஷிங் மற்றும் இலக்கு விரிவாக்கம்

ANEL மற்றும் NOOPDOOR ஐ பயன்படுத்த ஜப்பானில் உள்ள தனிநபர்கள் மற்றும் நிறுவனங்களை MirrorFace குறிவைத்த ஈட்டி-ஃபிஷிங் பிரச்சாரத்தின் விவரங்களை ஆராய்ச்சியாளர்கள் கண்டுபிடித்துள்ளனர். பல ஆண்டுகளாக, குழுவின் பரந்த மூலோபாய ஆர்வத்தை வெளிப்படுத்தும் வகையில், தைவான் மற்றும் இந்தியாவில் உள்ள நிறுவனங்களை குறிவைத்து இதேபோன்ற செயல்பாடுகள் காணப்படுகின்றன.

மூன்று முக்கிய தாக்குதல் பிரச்சாரங்கள் அடையாளம் காணப்பட்டுள்ளன

NPA மற்றும் NCSC படி, MirrorFace இன் செயல்பாடுகள் மூன்று முக்கிய பிரச்சாரங்களாக வகைப்படுத்தப்பட்டுள்ளன:

• பிரச்சாரம் A (டிசம்பர் 2019 - ஜூலை 2023 ): இந்தக் கட்டம் சிந்தனையாளர்கள், அரசு நிறுவனங்கள், அரசியல்வாதிகள் மற்றும் ஊடக நிறுவனங்களில் கவனம் செலுத்துகிறது. LODEINFO , NOOPDOOR மற்றும் LilimRAT எனப்படும் Lilith RAT இன் தனிப்பயனாக்கப்பட்ட பதிப்பை வழங்க தாக்குபவர்கள் ஈட்டி-ஃபிஷிங் மின்னஞ்சல்களைப் பயன்படுத்தினர்.
• பிரச்சாரம் B (பிப்ரவரி - அக்டோபர் 2023) : இந்த காலகட்டத்தில், MirrorFace தனது கவனத்தை குறைக்கடத்தி, உற்பத்தி, தகவல் தொடர்பு, கல்வி மற்றும் விண்வெளி துறைகளுக்கு மாற்றியது. நெட்வொர்க்குகளில் ஊடுருவி, கோபால்ட் ஸ்ட்ரைக் பீக்கன், LODEINFO மற்றும் NOOPDOOR ஆகியவற்றைப் பயன்படுத்த, Array Networks, Citrix மற்றும் Fortinet இலிருந்து இணையம் எதிர்கொள்ளும் சாதனங்களில் அறியப்பட்ட பாதிப்புகளை குழு பயன்படுத்தியது.
• Campaign C (ஜூன் 2024 முதல்): மிகச் சமீபத்திய தாக்குதல்கள் முதன்மையாக கல்வியாளர்கள், சிந்தனையாளர்கள், அரசியல்வாதிகள் மற்றும் ஊடக நிறுவனங்களை குறிவைத்துள்ளன. தாக்குபவர்கள் ஸ்பியர்-ஃபிஷிங் மின்னஞ்சல்களை தொடர்ந்து பயன்படுத்துகின்றனர், இந்த முறை ANEL ஐ வழங்க (UPPERCUT என்றும் அழைக்கப்படுகிறது).

ஏய்ப்பு நுட்பங்கள் மற்றும் இரகசிய தொடர்புகள்

மிரர்ஃபேஸ் நிலைத்தன்மையைப் பராமரிக்கவும் கண்டறிதலைத் தவிர்க்கவும் மேம்பட்ட நுட்பங்களைப் பயன்படுத்தியது. விஷுவல் ஸ்டுடியோ கோட் ரிமோட் டன்னல்களைப் பயன்படுத்தி இரகசிய இணைப்புகளை நிறுவுவது, அச்சுறுத்தல் நடிகர்கள் நெட்வொர்க் பாதுகாப்புகளைத் தவிர்க்கவும், சமரசம் செய்யப்பட்ட அமைப்புகளின் மீது ரிமோட் கண்ட்ரோலைப் பராமரிக்கவும் உதவுகிறது.

ஒரு திருட்டுத்தனமான செயல்பாட்டிற்கான விண்டோஸ் சாண்ட்பாக்ஸ்

விண்டோஸ் சாண்ட்பாக்ஸ் சூழலில் தாக்குதல் நடத்துபவர்கள் அச்சுறுத்தும் பேலோடுகளை செயல்படுத்தி வருவதையும் புலனாய்வாளர்கள் கண்டறிந்துள்ளனர். இந்த அணுகுமுறை தீம்பொருளை வைரஸ் தடுப்பு மென்பொருள் அல்லது எண்ட்பாயிண்ட் கண்டறிதல் மற்றும் பதில் (EDR) அமைப்புகளால் கண்டறியப்படாமல் செயல்பட அனுமதிக்கிறது. மேலும், ஹோஸ்ட் கம்ப்யூட்டர் மூடப்பட்டதும் அல்லது மறுதொடக்கம் செய்யப்பட்டதும், தீம்பொருளின் அனைத்து தடயங்களும் அழிக்கப்பட்டு, தடயவியல் ஆதாரம் எதுவும் இல்லை.

தேசிய பாதுகாப்புக்கு தொடர்ந்து அச்சுறுத்தல்

MirrorFace ஆல் பயன்படுத்தப்படும் தொடர்ச்சியான மற்றும் வளர்ந்து வரும் தந்திரோபாயங்கள் ஜப்பானை எதிர்கொண்டுள்ள இணைய அச்சுறுத்தல்களை எடுத்துக்காட்டுகின்றன. முக்கியமான துறைகளை குறிவைத்து, அதிநவீன ஏய்ப்பு உத்திகளைப் பயன்படுத்துவதன் மூலம், குழு தேசிய பாதுகாப்பு மற்றும் தொழில்நுட்ப முன்னேற்றங்களுக்கு கடுமையான சவாலை தொடர்ந்து அளித்து வருகிறது. ஸ்பியர்-ஃபிஷிங் முயற்சிகளுக்கு எதிராக விழிப்புடன் இருக்கவும், வளர்ந்து வரும் அச்சுறுத்தல்களுக்கு எதிராக தங்கள் இணைய பாதுகாப்பு பாதுகாப்பை வலுப்படுத்தவும் அதிகாரிகள் நிறுவனங்களை வலியுறுத்துகின்றனர்.