MirrorFace APT

翻译为：

日本警察厅 (NPA) 和国家网络安全应急准备与战略中心 (NCSC) 指控与中国有关联的威胁组织 MirrorFace 策划了一场长期的网络攻击活动。自 2019 年以来，该组织据称一直以日本各地的组织、企业和个人为目标，旨在窃取与国家安全和先进技术相关的信息。

MirrorFace 又名 Earth Kasha，据信是著名APT10威胁行为者的一个分支。该组织有计划地攻击日本实体，使用 ANEL、LODEINFO 和 NOOPDOOR（又名 HiddenFace）等复杂工具来实现其目标。

研究人员发现了 MirrorFace 针对日本个人和组织部署 ANEL 和 NOOPDOOR 的鱼叉式网络钓鱼活动的细节。多年来，研究人员观察到针对台湾和印度实体的类似行动，这表明该组织具有更广泛的战略利益。

根据 NPA 和 NCSC 的说法，MirrorFace 的活动分为三大类：

活动 A（2019 年 12 月- 2023 年 7 月）：此阶段主要针对智库、政府机构、政客和媒体组织。攻击者使用鱼叉式网络钓鱼电子邮件传播LODEINFO 、NOOPDOOR 和Lilith RAT的定制版本（称为 LilimRAT）。
活动 B（2023 年 2 月 - 10 月） ：在此期间，MirrorFace 将重点转移到半导体、制造、通信、学术和航空航天领域。该组织利用 Array Networks、Citrix 和 Fortinet 面向互联网的设备中已知的漏洞来渗透网络并部署 Cobalt Strike Beacon、LODEINFO 和 NOOPDOOR。
活动 C（自 2024 年 6 月起）：最近的攻击主要针对学术界、智库、政界人士和媒体组织。攻击者继续使用鱼叉式网络钓鱼电子邮件，这次是为了发送 ANEL（也称为 UPPERCUT）。

MirrorFace 采用了先进的技术来保持持久性并避免被发现。一种值得注意的策略是使用 Visual Studio Code 远程隧道建立隐蔽连接，使威胁行为者能够绕过网络防御并保持对受感染系统的远程控制。

调查人员还发现，攻击者一直在 Windows 沙盒环境中执行威胁性负载。这种方法允许恶意软件在不被防病毒软件或端点检测和响应 (EDR) 系统检测到的情况下运行。此外，一旦主机关闭或重新启动，恶意软件的所有痕迹都会被抹去，不会留下任何法医证据。

MirrorFace 使用的持续且不断演变的策略凸显了日本面临的持续网络威胁。该组织通过瞄准关键部门并采用复杂的规避策略，继续对国家安全和技术进步构成严重挑战。当局敦促各组织对鱼叉式网络钓鱼行为保持警惕，并加强网络安全防御以应对不断演变的威胁。

搜索