MirrorFace APT

翻譯為：

日本國家警察廳 (NPA) 和國家網路安全事件準備和戰略中心 (NCSC) 指控與中國有關的 MirrorFace 威脅組織策劃了一場長期的網路攻擊活動。據稱，自 2019 年以來，該組織以日本各地的組織、企業和個人為目標，旨在竊取與國家安全和先進技術相關的資訊。

MirrorFace 也稱為 Earth Kasha，據信是著名的APT10威脅組織中的子組織。該組織使用 ANEL、LODEINFO 和 NOOPDOOR（也稱為 HiddenFace）等複雜工具系統性地攻擊日本實體，以實現其目標。

研究人員發現了魚叉式網路釣魚活動的細節，其中 MirrorFace 針對日本的個人和組織部署 ANEL 和 NOOPDOOR。多年來，針對台灣和印度實體的類似行動已被觀察到，這表明該組織具有更廣泛的戰略利益。

根據 NPA 和 NCSC 的說法，MirrorFace 的活動分為三大類：

活動A（2019年12月至2023年7月）：此階段重點在於智庫、政府機構、政治人物和媒體組織。攻擊者使用魚叉式網路釣魚電子郵件發送LODEINFO 、NOOPDOOR 和Lilith RAT的定製版本（稱為 LilimRAT）。
活動B（2023年2月至10月） ：在此期間，MirrorFace將重點轉向半導體、製造、通訊、學術和航空航太領域。該組織利用 Array Networks、Citrix 和 Fortinet 面向互聯網的設備中的已知漏洞滲透網路並部署 Cobalt Strike Beacon、LODEINFO 和 NOOPDOOR。
活動 C（自 2024 年 6 月起）：最近的攻擊主要針對學術界、智庫、政治家和媒體組織。攻擊者繼續使用魚叉式網路釣魚電子郵件，這次是為了傳遞 ANEL（也稱為 UPPERCUT）。

MirrorFace 採用先進技術來保持持久性並避免偵測。一個值得注意的策略涉及使用 Visual Studio Code 遠端隧道建立秘密連接，使威脅行為者能夠繞過網路防禦並保持對受感染系統的遠端控制。

調查人員還發現，攻擊者一直在 Windows 沙箱環境中執行威脅有效負載。這種方法允許惡意軟體在不被防毒軟體或端點偵測和回應（EDR）系統偵測到的情況下運作。此外，一旦主機關閉或重新啟動，惡意軟體的所有痕跡都會被刪除，不會留下任何法醫證據。

MirrorFace 使用的持續且不斷演變的策略凸顯了日本面臨的持續網路威脅。透過針對關鍵部門並採用複雜的規避策略，該組織繼續對國家安全和技術進步構成嚴重挑戰。當局敦促組織對魚叉式網路釣魚企圖保持警惕，並加強網路安全防禦，以應對不斷變化的威脅。

搜索