MirrorFace APT
Cơ quan Cảnh sát Quốc gia Nhật Bản (NPA) và Trung tâm Quốc gia về Sẵn sàng ứng phó sự cố và Chiến lược An ninh mạng (NCSC) đã cáo buộc một tác nhân đe dọa có liên hệ với Trung Quốc được gọi là MirrorFace đã dàn dựng một chiến dịch tấn công mạng kéo dài. Từ năm 2019, nhóm này bị cáo buộc đã nhắm mục tiêu vào các tổ chức, doanh nghiệp và cá nhân trên khắp Nhật Bản, nhằm mục đích đánh cắp thông tin liên quan đến an ninh quốc gia và công nghệ tiên tiến.
Mục lục
Liên kết của MirrorFace tới APT10
MirrorFace còn được gọi là Earth Kasha, được cho là một nhóm nhỏ trong nhóm tin tặc APT10 nổi tiếng. Nhóm này đã tấn công có hệ thống các thực thể Nhật Bản, sử dụng các công cụ tinh vi như ANEL, LODEINFO và NOOPDOOR (còn được gọi là HiddenFace) để đạt được mục tiêu của mình.
Spear-Phishing và Mở rộng mục tiêu
Các nhà nghiên cứu đã phát hiện ra chi tiết về một chiến dịch lừa đảo qua email mà MirrorFace nhắm vào các cá nhân và tổ chức tại Nhật Bản để triển khai ANEL và NOOPDOOR. Trong những năm qua, người ta đã quan sát thấy các hoạt động tương tự nhắm vào các thực thể tại Đài Loan và Ấn Độ, cho thấy lợi ích chiến lược rộng lớn hơn của nhóm này.
Ba Chiến dịch tấn công lớn được xác định
Theo NPA và NCSC, các hoạt động của MirrorFace đã được phân loại thành ba chiến dịch chính:
- Chiến dịch A (tháng 12 năm 2019 – tháng 7 năm 2023 ): Giai đoạn này tập trung vào các nhóm nghiên cứu, cơ quan chính phủ, chính trị gia và tổ chức truyền thông. Những kẻ tấn công đã sử dụng email lừa đảo để gửi LODEINFO , NOOPDOOR và phiên bản tùy chỉnh của Lilith RAT được gọi là LilimRAT.
- Chiến dịch B (tháng 2 – tháng 10 năm 2023) : Trong giai đoạn này, MirrorFace chuyển trọng tâm sang các lĩnh vực bán dẫn, sản xuất, truyền thông, học thuật và hàng không vũ trụ. Nhóm này đã khai thác các lỗ hổng đã biết trong các thiết bị kết nối internet từ Array Networks, Citrix và Fortinet để xâm nhập vào mạng và triển khai Cobalt Strike Beacon, LODEINFO và NOOPDOOR.
- Chiến dịch C (Từ tháng 6 năm 2024): Các cuộc tấn công gần đây nhất chủ yếu nhắm vào giới học thuật, nhóm nghiên cứu, chính trị gia và tổ chức truyền thông. Những kẻ tấn công tiếp tục sử dụng email lừa đảo, lần này là để gửi ANEL (còn được gọi là UPPERCUT).
Kỹ thuật trốn tránh và giao tiếp bí mật
MirrorFace đã sử dụng các kỹ thuật tiên tiến để duy trì tính bền bỉ và tránh bị phát hiện. Một chiến thuật đáng chú ý liên quan đến việc sử dụng đường hầm từ xa Visual Studio Code để thiết lập các kết nối bí mật, cho phép các tác nhân đe dọa vượt qua các biện pháp phòng thủ mạng và duy trì quyền kiểm soát từ xa đối với các hệ thống bị xâm phạm.
Windows Sandbox cho việc thực thi ẩn
Các nhà điều tra cũng phát hiện ra rằng những kẻ tấn công đã thực hiện các tải trọng đe dọa trong môi trường Windows Sandbox. Cách tiếp cận này cho phép phần mềm độc hại hoạt động mà không bị phần mềm diệt vi-rút hoặc hệ thống Endpoint Detection and Response (EDR) phát hiện. Hơn nữa, sau khi máy chủ bị tắt hoặc khởi động lại, mọi dấu vết của phần mềm độc hại đều bị xóa, không để lại bằng chứng pháp y.
Mối đe dọa đang diễn ra đối với an ninh quốc gia
Các chiến thuật dai dẳng và liên tục được MirrorFace sử dụng làm nổi bật các mối đe dọa mạng đang diễn ra mà Nhật Bản phải đối mặt. Bằng cách nhắm mục tiêu vào các lĩnh vực quan trọng và sử dụng các chiến lược trốn tránh tinh vi, nhóm này tiếp tục gây ra thách thức nghiêm trọng đối với an ninh quốc gia và những tiến bộ công nghệ. Các nhà chức trách kêu gọi các tổ chức cảnh giác chống lại các nỗ lực lừa đảo trực tuyến và tăng cường phòng thủ an ninh mạng của họ trước các mối đe dọa đang phát triển.
