MirrorFace APT

జపాన్ యొక్క నేషనల్ పోలీస్ ఏజెన్సీ (NPA) మరియు నేషనల్ సెంటర్ ఆఫ్ ఇన్సిడెంట్ రెడినెస్ అండ్ స్ట్రాటజీ ఫర్ సైబర్‌సెక్యూరిటీ (NCSC) చైనా-లింక్డ్ థ్రెట్ యాక్టర్‌ని మిర్రర్‌ఫేస్ అని పిలుస్తారు, దీర్ఘకాలంగా సైబర్‌టాక్ ప్రచారాన్ని ఆర్కెస్ట్రేట్ చేస్తున్నాడని ఆరోపించాయి. 2019 నుండి, సమూహం జాతీయ భద్రత మరియు అధునాతన సాంకేతికతకు సంబంధించిన సమాచారాన్ని దొంగిలించే లక్ష్యంతో జపాన్ అంతటా సంస్థలు, వ్యాపారాలు మరియు వ్యక్తులను లక్ష్యంగా చేసుకుంది.

APT10కి MirrorFace లింక్‌లు

మిర్రర్‌ఫేస్‌ను ఎర్త్ కాషా అని కూడా పిలుస్తారు, ఇది సుప్రసిద్ధ APT10 బెదిరింపు నటుడిలోని ఒక ఉప సమూహం అని నమ్ముతారు. సమూహం దాని లక్ష్యాలను సాధించడానికి ANEL, LODEINFO మరియు NOOPDOOR (హిడెన్‌ఫేస్ అని కూడా పిలుస్తారు) వంటి అధునాతన సాధనాలను ఉపయోగిస్తూ జపనీస్ సంస్థలపై క్రమపద్ధతిలో దాడి చేసింది.

స్పియర్-ఫిషింగ్ మరియు టార్గెట్ విస్తరణ

ANEL మరియు NOOPDOORలను మోహరించడానికి జపాన్‌లోని వ్యక్తులు మరియు సంస్థలను MirrorFace లక్ష్యంగా చేసుకున్న స్పియర్-ఫిషింగ్ ప్రచారానికి సంబంధించిన వివరాలను పరిశోధకులు కనుగొన్నారు. సంవత్సరాలుగా, తైవాన్ మరియు భారతదేశంలోని సంస్థలను లక్ష్యంగా చేసుకుని ఇలాంటి కార్యకలాపాలు గమనించబడ్డాయి, ఇది సమూహం యొక్క విస్తృత వ్యూహాత్మక ఆసక్తిని ప్రదర్శిస్తుంది.

మూడు ప్రధాన దాడి ప్రచారాలు గుర్తించబడ్డాయి

NPA మరియు NCSC ప్రకారం, MirrorFace యొక్క కార్యకలాపాలు మూడు ప్రధాన ప్రచారాలుగా వర్గీకరించబడ్డాయి:

• ప్రచారం A (డిసెంబర్ 2019 - జూలై 2023 ): ఈ దశ థింక్ ట్యాంక్‌లు, ప్రభుత్వ సంస్థలు, రాజకీయ నాయకులు మరియు మీడియా సంస్థలపై దృష్టి సారించింది. దాడి చేసేవారు LODEINFO , NOOPDOOR మరియు LilimRAT అని పిలువబడే Lilith RAT యొక్క అనుకూలీకరించిన సంస్కరణను అందించడానికి స్పియర్-ఫిషింగ్ ఇమెయిల్‌లను ఉపయోగించారు.
• ప్రచారం B (ఫిబ్రవరి - అక్టోబర్ 2023) : ఈ కాలంలో, MirrorFace సెమీకండక్టర్, తయారీ, కమ్యూనికేషన్స్, అకడమిక్ మరియు ఏరోస్పేస్ రంగాలపై దృష్టి సారించింది. నెట్‌వర్క్‌లలోకి చొరబడటానికి మరియు కోబాల్ట్ స్ట్రైక్ బెకన్, LODEINFO మరియు NOOPDOORలను అమలు చేయడానికి Array Networks, Citrix మరియు Fortinet నుండి ఇంటర్నెట్-ఫేసింగ్ పరికరాలలో తెలిసిన దుర్బలత్వాలను సమూహం ఉపయోగించుకుంది.
• Campaign C (జూన్ 2024 నుండి): ఇటీవలి దాడులు ప్రధానంగా విద్యావేత్తలు, థింక్ ట్యాంక్‌లు, రాజకీయ నాయకులు మరియు మీడియా సంస్థలను లక్ష్యంగా చేసుకున్నాయి. దాడి చేసేవారు ANEL (దీనినే UPPERCUT అని కూడా పిలుస్తారు) బట్వాడా చేయడానికి స్పియర్-ఫిషింగ్ ఇమెయిల్‌లను ఉపయోగించడం కొనసాగిస్తున్నారు.

ఎగవేత సాంకేతికతలు మరియు రహస్య కమ్యూనికేషన్లు

మిర్రర్‌ఫేస్ నిలకడను కొనసాగించడానికి మరియు గుర్తించకుండా ఉండటానికి అధునాతన సాంకేతికతలను ఉపయోగించింది. రహస్య కనెక్షన్‌లను ఏర్పాటు చేయడానికి విజువల్ స్టూడియో కోడ్ రిమోట్ టన్నెల్‌లను ఉపయోగించడం, నెట్‌వర్క్ డిఫెన్స్‌లను దాటవేయడానికి మరియు రాజీపడిన సిస్టమ్‌లపై రిమోట్ కంట్రోల్‌ని నిర్వహించడానికి ముప్పు నటులను ఎనేబుల్ చేయడం గుర్తించదగిన వ్యూహం.

స్టీల్త్ ఎగ్జిక్యూషన్ కోసం విండోస్ శాండ్‌బాక్స్

విండోస్ శాండ్‌బాక్స్ వాతావరణంలో దాడి చేసేవారు బెదిరింపు పేలోడ్‌లను అమలు చేస్తున్నారని పరిశోధకులు కనుగొన్నారు. ఈ విధానం యాంటీవైరస్ సాఫ్ట్‌వేర్ లేదా ఎండ్‌పాయింట్ డిటెక్షన్ అండ్ రెస్పాన్స్ (EDR) సిస్టమ్‌ల ద్వారా గుర్తించబడకుండానే మాల్వేర్ ఆపరేట్ చేయడానికి అనుమతిస్తుంది. అంతేకాకుండా, హోస్ట్ కంప్యూటర్ షట్ డౌన్ చేయబడిన తర్వాత లేదా పునఃప్రారంభించబడిన తర్వాత, మాల్వేర్ యొక్క అన్ని జాడలు తొలగించబడతాయి, ఎటువంటి ఫోరెన్సిక్ సాక్ష్యాలను వదిలివేయదు.

జాతీయ భద్రతకు కొనసాగుతున్న ముప్పు

MirrorFace ఉపయోగించిన నిరంతర మరియు అభివృద్ధి చెందుతున్న వ్యూహాలు జపాన్ ఎదుర్కొంటున్న కొనసాగుతున్న సైబర్ బెదిరింపులను హైలైట్ చేస్తాయి. క్లిష్టమైన రంగాలను లక్ష్యంగా చేసుకోవడం మరియు అధునాతన ఎగవేత వ్యూహాలను అమలు చేయడం ద్వారా, సమూహం జాతీయ భద్రత మరియు సాంకేతిక పురోగతికి తీవ్రమైన సవాలును విసురుతోంది. స్పియర్-ఫిషింగ్ ప్రయత్నాలకు వ్యతిరేకంగా అప్రమత్తంగా ఉండాలని మరియు అభివృద్ధి చెందుతున్న బెదిరింపులకు వ్యతిరేకంగా వారి సైబర్‌ సెక్యూరిటీ డిఫెన్స్‌లను బలోపేతం చేయాలని అధికారులు సంస్థలను కోరుతున్నారు.