MirrorFace APT
Japans National Police Agency (NPA) und das National Center of Incident Readiness and Strategy for Cybersecurity (NCSC) haben einen mit China verbundenen Bedrohungsakteur namens MirrorFace beschuldigt, eine langjährige Cyberangriffskampagne orchestriert zu haben. Seit 2019 hat die Gruppe angeblich Organisationen, Unternehmen und Einzelpersonen in ganz Japan ins Visier genommen, um Informationen im Zusammenhang mit der nationalen Sicherheit und fortschrittlicher Technologie zu stehlen.
Inhaltsverzeichnis
MirrorFaces Links zu APT10
MirrorFace, auch als Earth Kasha bekannt, gilt als Untergruppe des bekannten Bedrohungsakteurs APT10 . Die Gruppe hat systematisch japanische Unternehmen angegriffen und dabei anspruchsvolle Tools wie ANEL, LODEINFO und NOOPDOOR (auch als HiddenFace bekannt) eingesetzt, um ihre Ziele zu erreichen.
Spear-Phishing und Zielerweiterung
Forscher haben Details einer Spear-Phishing-Kampagne aufgedeckt, bei der MirrorFace Einzelpersonen und Organisationen in Japan ins Visier nahm, um ANEL und NOOPDOOR einzusetzen. Im Laufe der Jahre wurden ähnliche Operationen beobachtet, die auf Unternehmen in Taiwan und Indien abzielten, was das breitere strategische Interesse der Gruppe verdeutlicht.
Drei große Angriffskampagnen identifiziert
Laut NPA und NCSC wurden die Aktivitäten von MirrorFace in drei große Kampagnen eingeteilt:
- Kampagne A (Dezember 2019 – Juli 2023 ): Diese Phase konzentrierte sich auf Thinktanks, Regierungsbehörden, Politiker und Medienorganisationen. Angreifer verwendeten Spear-Phishing-E-Mails, um LODEINFO , NOOPDOOR und eine angepasste Version von Lilith RAT, bekannt als LilimRAT, zu verbreiten.
- Kampagne B (Februar – Oktober 2023) : Während dieser Zeit verlagerte MirrorFace seinen Fokus auf die Halbleiter-, Fertigungs-, Kommunikations-, akademischen und Luft- und Raumfahrtsektoren. Die Gruppe nutzte bekannte Schwachstellen in internetfähigen Geräten von Array Networks, Citrix und Fortinet aus, um Netzwerke zu infiltrieren und Cobalt Strike Beacon, LODEINFO und NOOPDOOR einzusetzen.
- Kampagne C (ab Juni 2024): Die jüngsten Angriffe richteten sich vor allem gegen Hochschulen, Thinktanks, Politiker und Medienorganisationen. Die Angreifer verwenden weiterhin Spear-Phishing-E-Mails, diesmal um ANEL (auch bekannt als UPPERCUT) zu versenden.
Ausweichtechniken und verdeckte Kommunikation
MirrorFace hat fortschrittliche Techniken eingesetzt, um seine Persistenz aufrechtzuerhalten und eine Erkennung zu vermeiden. Eine bemerkenswerte Taktik besteht darin, Remote-Tunnel in Visual Studio Code zu verwenden, um verdeckte Verbindungen herzustellen. So können Bedrohungsakteure die Netzwerkabwehr umgehen und die Fernsteuerung über kompromittierte Systeme behalten.
Windows Sandbox für eine Stealth-Ausführung
Die Ermittler stellten außerdem fest, dass Angreifer bedrohliche Payloads innerhalb der Windows Sandbox-Umgebung ausgeführt haben. Mit diesem Ansatz kann die Malware agieren, ohne von Antivirensoftware oder Endpoint Detection and Response (EDR)-Systemen erkannt zu werden. Darüber hinaus werden alle Spuren der Malware gelöscht, sobald der Hostcomputer heruntergefahren oder neu gestartet wird, sodass keine forensischen Beweise zurückbleiben.
Anhaltende Bedrohung der nationalen Sicherheit
Die hartnäckigen und sich weiterentwickelnden Taktiken von MirrorFace unterstreichen die anhaltenden Cyberbedrohungen, denen Japan ausgesetzt ist. Indem die Gruppe kritische Sektoren ins Visier nimmt und ausgefeilte Ausweichstrategien anwendet, stellt sie weiterhin eine ernsthafte Herausforderung für die nationale Sicherheit und den technologischen Fortschritt dar. Die Behörden fordern Organisationen auf, wachsam gegenüber Spear-Phishing-Versuchen zu bleiben und ihre Cybersicherheitsabwehr gegen sich entwickelnde Bedrohungen zu stärken.
