MirrorFace APT
Inakusahan ng National Police Agency (NPA) ng Japan at ng National Center of Incident Readiness and Strategy for Cybersecurity (NCSC) ang isang aktor ng pagbabanta na nauugnay sa China na kilala bilang MirrorFace na nag-orkestra ng isang matagal nang cyberattack campaign. Mula noong 2019, tina-target umano ng grupo ang mga organisasyon, negosyo, at indibidwal sa buong Japan, na naglalayong magnakaw ng impormasyong nauugnay sa pambansang seguridad at advanced na teknolohiya.
Talaan ng mga Nilalaman
Mga Link ng MirrorFace sa APT10
Ang MirrorFace na tinutukoy din bilang Earth Kasha, ay pinaniniwalaang isang subgroup sa loob ng kilalang APT10 threat actor. Ang grupo ay sistematikong inatake ang mga Japanese entity, gamit ang mga sopistikadong tool tulad ng ANEL, LODEINFO, at NOOPDOOR (kilala rin bilang HiddenFace) upang makamit ang mga layunin nito.
Spear-Phishing at Target na Pagpapalawak
Natuklasan ng mga mananaliksik ang mga detalye ng isang spear-phishing campaign kung saan tina-target ng MirrorFace ang mga indibidwal at organisasyon sa Japan na mag-deploy ng ANEL at NOOPDOOR. Sa paglipas ng mga taon, ang mga katulad na operasyon ay naobserbahan na nagta-target sa mga entity sa Taiwan at India, na nagpapakita ng mas malawak na estratehikong interes ng grupo.
Natukoy ang Tatlong Pangunahing Kampanya ng Pag-atake
Ayon sa NPA at NCSC, ang mga aktibidad ng MirrorFace ay inuri sa tatlong pangunahing kampanya:
- Campaign A (Disyembre 2019 – Hulyo 2023 ): Nakatuon ang yugtong ito sa mga think tank, ahensya ng gobyerno, pulitiko, at organisasyon ng media. Gumamit ang mga attacker ng mga spear-phishing na email para maghatid ng LODEINFO , NOOPDOOR, at isang customized na bersyon ng Lilith RAT na kilala bilang LilimRAT.
- Campaign B (Pebrero – Oktubre 2023) : Sa panahong ito, inilipat ng MirrorFace ang pagtuon nito sa mga sektor ng semiconductor, pagmamanupaktura, komunikasyon, akademiko at aerospace. Sinamantala ng grupo ang mga kilalang kahinaan sa mga device na nakaharap sa internet mula sa Array Networks, Citrix, at Fortinet para makalusot sa mga network at mag-deploy ng Cobalt Strike Beacon, LODEINFO, at NOOPDOOR.
- Campaign C (Mula Hunyo 2024): Ang pinakahuling pag-atake ay pangunahing naka-target sa akademya, think tank, pulitiko at organisasyon ng media. Ang mga umaatake ay patuloy na gumagamit ng mga spear-phishing na email, sa pagkakataong ito para maghatid ng ANEL (kilala rin bilang UPPERCUT).
Mga Pamamaraan sa Pag-iwas at Mga Palihim na Komunikasyon
Gumamit ang MirrorFace ng mga advanced na diskarte upang mapanatili ang pagtitiyaga at maiwasan ang pagtuklas. Ang isang kapansin-pansing taktika ay nagsasangkot ng paggamit ng Visual Studio Code remote tunnels upang magtatag ng mga tago na koneksyon, na nagbibigay-daan sa mga aktor ng pagbabanta na i-bypass ang mga depensa ng network at mapanatili ang malayuang kontrol sa mga nakompromisong system.
Windows Sandbox para sa Stealth Execution
Natuklasan din ng mga imbestigador na ang mga umaatake ay nagsasagawa ng mga nagbabantang payload sa loob ng kapaligiran ng Windows Sandbox. Ang diskarte na ito ay nagbibigay-daan sa malware na gumana nang hindi nade-detect ng antivirus software o Endpoint Detection and Response (EDR) system. Higit pa rito, kapag ang host computer ay na-shut down o na-restart, ang lahat ng mga bakas ng malware ay mabubura, na walang iniiwan na forensic na ebidensya.
Patuloy na Banta sa Pambansang Seguridad
Ang patuloy at umuusbong na mga taktika na ginagamit ng MirrorFace ay nagbibigay-diin sa mga patuloy na banta sa cyber na kinakaharap ng Japan. Sa pamamagitan ng pag-target sa mga kritikal na sektor at paggamit ng mga sopistikadong diskarte sa pag-iwas, ang grupo ay patuloy na nagbibigay ng seryosong hamon sa pambansang seguridad at mga pagsulong sa teknolohiya. Hinihimok ng mga awtoridad ang mga organisasyon na manatiling mapagbantay laban sa mga pagtatangka ng spear-phishing at palakasin ang kanilang mga panlaban sa cybersecurity laban sa mga umuusbong na banta.
