MirrorFace APT
Національне поліцейське агентство Японії (NPA) і Національний центр готовності до інцидентів і стратегії кібербезпеки (NCSC) звинуватили пов'язаного з Китаєм загрозливого актора, відомого як MirrorFace, в організації тривалої кампанії кібератак. Починаючи з 2019 року група ймовірно атакувала організації, підприємства та окремих осіб по всій Японії, прагнучи викрасти інформацію, пов’язану з національною безпекою та передовими технологіями.
Зміст
Посилання MirrorFace на APT10
Вважається, що MirrorFace, також званий Earth Kasha, є підгрупою відомого загрозливого актора APT10 . Група систематично атакувала японські організації, використовуючи складні інструменти, такі як ANEL, LODEINFO та NOOPDOOR (також відомі як HiddenFace), для досягнення своїх цілей.
Фішинг і цільове розширення
Дослідники виявили подробиці фішингової кампанії, у якій MirrorFace націлювався на окремих осіб і організації в Японії для розгортання ANEL і NOOPDOOR. Протягом багатьох років спостерігалися подібні операції, спрямовані на організації в Тайвані та Індії, що демонструє ширший стратегічний інтерес групи.
Виявлено три кампанії великих атак
За даними NPA та NCSC, діяльність MirrorFace поділяють на три основні кампанії:
- Кампанія А (грудень 2019 р. – липень 2023 р .): цей етап зосереджувався на аналітичних центрах, державних установах, політиках і медіа-організаціях. Зловмисники використовували фішингові електронні листи, щоб доставити LODEINFO , NOOPDOOR і спеціалізовану версію Lilith RAT , відому як LilimRAT.
- Кампанія B (лютий – жовтень 2023 р.) : протягом цього періоду MirrorFace перемістила свою увагу на напівпровідниковий, виробничий, комунікаційний, академічний та аерокосмічний сектори. Група використовувала відомі вразливості в інтернет-пристроях від Array Networks, Citrix і Fortinet для проникнення в мережі та розгортання Cobalt Strike Beacon, LODEINFO і NOOPDOOR.
- Кампанія C (з червня 2024 року): останні атаки в основному були спрямовані проти наукових кіл, аналітичних центрів, політиків і медіа-організацій. Зловмисники продовжують використовувати електронні листи для фішингу, цього разу для доставки ANEL (також відомого як UPPERCUT).
Методи ухилення та приховані комунікації
MirrorFace використовує передові методи, щоб підтримувати постійність і уникнути виявлення. Відома тактика передбачає використання віддалених тунелів Visual Studio Code для встановлення прихованих з’єднань, що дозволяє суб’єктам загрози обходити захист мережі та підтримувати дистанційний контроль над скомпрометованими системами.
Пісочниця Windows для скритного виконання
Слідчі також виявили, що зловмисники виконували загрозливі корисні навантаження в середовищі Windows Sandbox. Цей підхід дозволяє зловмисному програмному забезпеченню працювати, не виявляючи його антивірусним програмним забезпеченням або системами виявлення та реагування на кінцеві точки (EDR). Крім того, після вимкнення або перезавантаження головного комп’ютера всі сліди зловмисного програмного забезпечення стираються, не залишаючи жодних судових доказів.
Постійна загроза національній безпеці
Наполеглива та розвиваюча тактика, яку використовує MirrorFace, підкреслює поточні кіберзагрози, з якими стикається Японія. Націлюючись на критичні сектори та використовуючи складні стратегії ухилення, група продовжує створювати серйозну загрозу національній безпеці та технологічному прогресу. Органи влади закликають організації залишатися пильними щодо спроб фішингу та посилити захист кібербезпеки від нових загроз.
