MirrorFace APT

สำนักงานตำรวจแห่งชาติของญี่ปุ่น (NPA) และศูนย์เตรียมความพร้อมรับมือเหตุการณ์และกลยุทธ์ด้านความปลอดภัยทางไซเบอร์แห่งชาติ (NCSC) ได้กล่าวหาผู้ก่ออาชญากรรมไซเบอร์ที่มีความเชื่อมโยงกับจีนที่รู้จักกันในชื่อ MirrorFace ว่าเป็นผู้วางแผนการโจมตีทางไซเบอร์ที่ดำเนินมายาวนาน ตั้งแต่ปี 2019 กลุ่มดังกล่าวได้โจมตีองค์กร ธุรกิจ และบุคคลต่างๆ ทั่วญี่ปุ่น โดยมีเป้าหมายเพื่อขโมยข้อมูลที่เกี่ยวข้องกับความมั่นคงแห่งชาติและเทคโนโลยีขั้นสูง

ลิงค์ของ MirrorFace ไปยัง APT10

MirrorFace หรือที่เรียกอีกอย่างว่า Earth Kasha เชื่อกันว่าเป็นกลุ่มย่อยของ APT10 ซึ่งเป็นกลุ่มที่ก่อภัยคุกคามที่มีชื่อเสียง กลุ่มนี้ได้โจมตีหน่วยงานของญี่ปุ่นอย่างเป็นระบบโดยใช้เครื่องมือที่ซับซ้อน เช่น ANEL, LODEINFO และ NOOPDOOR (หรือเรียกอีกอย่างว่า HiddenFace) เพื่อบรรลุเป้าหมาย

การฟิชชิ่งแบบเจาะจงและการขยายเป้าหมาย

นักวิจัยได้เปิดเผยรายละเอียดของแคมเปญฟิชชิ่งแบบเจาะจงที่ MirrorFace กำหนดเป้าหมายบุคคลและองค์กรในญี่ปุ่นเพื่อใช้งาน ANEL และ NOOPDOOR ในช่วงหลายปีที่ผ่านมา มีการสังเกตพบการดำเนินการที่คล้ายคลึงกันซึ่งกำหนดเป้าหมายองค์กรในไต้หวันและอินเดีย ซึ่งแสดงให้เห็นถึงผลประโยชน์เชิงกลยุทธ์ที่กว้างขึ้นของกลุ่ม

ระบุแคมเปญโจมตีหลักสามแคมเปญ

ตามข้อมูลของ NPA และ NCSC กิจกรรมของ MirrorFace ได้รับการแบ่งออกเป็น 3 แคมเปญหลัก:

• แคมเปญ A (ธันวาคม 2019 – กรกฎาคม 2023 ): ระยะนี้มุ่งเน้นไปที่กลุ่มนักวิจัย หน่วยงานของรัฐ นักการเมือง และองค์กรสื่อ ผู้โจมตีใช้อีเมลฟิชชิ่งแบบเจาะจงเพื่อส่ง LODEINFO , NOOPDOOR และ Lilith RAT เวอร์ชันปรับแต่งที่รู้จักกันในชื่อ LilimRAT
• แคมเปญ B (กุมภาพันธ์ – ตุลาคม 2023) : ในช่วงเวลานี้ MirrorFace มุ่งเน้นไปที่เซมิคอนดักเตอร์ การผลิต การสื่อสาร วิชาการ และอวกาศ กลุ่มนี้ใช้ประโยชน์จากช่องโหว่ที่ทราบแล้วในอุปกรณ์ที่เชื่อมต่อกับอินเทอร์เน็ตจาก Array Networks, Citrix และ Fortinet เพื่อแทรกซึมเครือข่ายและปรับใช้ Cobalt Strike Beacon, LODEINFO และ NOOPDOOR
• แคมเปญ C (ตั้งแต่เดือนมิถุนายน 2024): การโจมตีล่าสุดมุ่งเป้าไปที่กลุ่มนักวิชาการ สถาบันวิจัย นักการเมือง และองค์กรสื่อเป็นหลัก ผู้โจมตียังคงใช้อีเมลฟิชชิ่งแบบเจาะจง ในครั้งนี้เพื่อส่ง ANEL (หรือที่เรียกว่า UPPERCUT)

เทคนิคการหลบเลี่ยงและการสื่อสารที่ซ่อนเร้น

MirrorFace ได้ใช้เทคนิคขั้นสูงเพื่อรักษาความคงอยู่และหลีกเลี่ยงการตรวจจับ กลวิธีที่โดดเด่นเกี่ยวข้องกับการใช้ Visual Studio Code อุโมงค์ระยะไกลเพื่อสร้างการเชื่อมต่อที่ซ่อนเร้น ช่วยให้ผู้ก่อภัยคุกคามสามารถหลบเลี่ยงการป้องกันเครือข่ายและรักษาการควบคุมระยะไกลเหนือระบบที่ถูกบุกรุกได้

Windows Sandbox สำหรับการดำเนินการอย่างลับๆ

นอกจากนี้ นักสืบยังค้นพบว่าผู้โจมตีได้ดำเนินการโหลดที่เป็นอันตรายภายในสภาพแวดล้อม Windows Sandbox วิธีนี้ทำให้มัลแวร์สามารถทำงานได้โดยไม่ถูกตรวจพบโดยซอฟต์แวร์ป้องกันไวรัสหรือระบบ Endpoint Detection and Response (EDR) นอกจากนี้ เมื่อปิดเครื่องหรือรีสตาร์ทคอมพิวเตอร์โฮสต์แล้ว ร่องรอยของมัลแวร์ทั้งหมดจะถูกลบออก โดยไม่ทิ้งหลักฐานทางนิติวิทยาศาสตร์ไว้

ภัยคุกคามต่อความมั่นคงของชาติที่ยังคงดำเนินอยู่

กลวิธีที่ MirrorFace ใช้มาอย่างต่อเนื่องและพัฒนาขึ้นเรื่อยๆ เน้นย้ำถึงภัยคุกคามทางไซเบอร์ที่ญี่ปุ่นกำลังเผชิญอยู่ โดยการโจมตีภาคส่วนที่สำคัญและใช้กลยุทธ์การหลบเลี่ยงที่ซับซ้อน กลุ่มนี้ยังคงเป็นความท้าทายที่สำคัญต่อความมั่นคงของชาติและความก้าวหน้าทางเทคโนโลยี ทางการเรียกร้องให้องค์กรต่างๆ เฝ้าระวังความพยายามฟิชชิ่งแบบเจาะจง และเสริมการป้องกันความปลอดภัยทางไซเบอร์เพื่อรับมือกับภัยคุกคามที่เปลี่ยนแปลงไป