MirrorFace APT: постоянная киберугроза, направленная на Японию
Table of Contents
Длительная шпионская операция
Кибербезопасность Японии столкнулась с постоянным вызовом в виде MirrorFace APT, сложной кибершпионской группировки, которая, как полагают, связана с Китаем. Этот субъект угроз организовывал целевые атаки по крайней мере с 2019 года, сосредоточив свои усилия на проникновении в организации, предприятия и высокопоставленных лиц по всей Японии. Представители Национального полицейского агентства (NPA) и Национального центра готовности к инцидентам и стратегии кибербезопасности (NCSC) указали на MirrorFace как на основного игрока в кибероперациях, направленных на сбор разведданных, связанных с национальной безопасностью и технологическими достижениями.
MirrorFace и его связь с APT10
MirrorFace, также известная как Earth Kasha, считается филиалом более крупной группировки APT10, которая имеет историю проведения кибершпионской деятельности против нескольких стран. Группа использовала ряд пользовательских и общедоступных инструментов для выполнения своих операций, включая ANEL, LODEINFO и NOOPDOOR (также называемую HiddenFace).
Группа угроз известна тем, что использует тактику целевого фишинга и уязвимости безопасности для проникновения в целевые системы. Хотя Япония остается основным объектом внимания, ее операции также наблюдались на Тайване и в Индии, что предполагает более широкий стратегический интерес.
Кампании, разворачивающиеся с течением времени
Действия MirrorFace можно разделить на три отдельные кампании, каждая из которых использует определенные методы и инструменты для взлома сетей и кражи данных:
Нацеливание на политические и медийные организации (2019–2023)
Первая крупная кампания, охватывающая период с декабря 2019 года по июль 2023 года, была сосредоточена на политических институтах, средствах массовой информации, государственных органах и исследовательских организациях. Используя фишинговые письма, злоумышленники распространяли вредоносные полезные нагрузки, такие как LODEINFO, NOOPDOOR и настроенный вариант Lilith RAT (LilimRAT), предназначенный для сбора информации и удаленного доступа.
Использование уязвимостей безопасности в критически важных отраслях (2023)
Вторая волна атак произошла в период с февраля по октябрь 2023 года, переключив внимание на отрасли, имеющие решающее значение для экономической и технологической инфраструктуры Японии. Основными целями были такие сектора, как производство полупроводников, связь, аэрокосмическая промышленность и академическая сфера. На этом этапе использовались известные уязвимости в устройствах с выходом в Интернет, в частности, связанные с Array Networks, Citrix и Fortinet. Используя эти уязвимости, злоумышленники использовали такие инструменты, как Cobalt Strike Beacon , LODEINFO и NOOPDOOR, чтобы закрепиться в корпоративных сетях.
Последние тактики и адаптация (2024–настоящее время)
Последняя известная кампания, которая появилась в июне 2024 года, снова была сосредоточена на академических кругах, исследовательских институтах, политических деятелях и сотрудниках СМИ. Основным методом проникновения остается фишинг, при котором злоумышленники доставляют ANEL (также называемый UPPERCUT) для компрометации систем и установления постоянного доступа.
Продвинутые методы скрытности и настойчивости
MirrorFace продемонстрировала способность адаптировать свою тактику для обхода современных мер безопасности. Одна из ее примечательных техник заключается в использовании удаленных туннелей Visual Studio Code, что позволяет группе сохранять скрытый контроль над скомпрометированными системами, избегая обнаружения.
Кроме того, группа была замечена за выполнением вредоносных полезных нагрузок в Windows Sandbox, функции, разработанной для безопасного тестирования приложений. Запуская вредоносный код в этой изолированной среде, злоумышленники гарантируют, что следы их деятельности исчезнут при перезапуске системы, не давая криминалистическому анализу обнаружить важные доказательства.
Последствия для кибербезопасности и обороны
Продолжающиеся операции MirrorFace подчеркивают развивающиеся киберугрозы, с которыми сталкивается Япония и весь Азиатско-Тихоокеанский регион. Учитывая фокус группы на национальной безопасности, технологиях и промышленности, ее деятельность может иметь значительные последствия как для государственной политики, так и для стратегий безопасности частного сектора.
Организации, работающие в секторах с высоким уровнем риска, должны сохранять бдительность и принимать упреждающие меры кибербезопасности для противодействия таким угрозам. Это включает в себя укрепление безопасности электронной почты, регулярное обновление программного обеспечения для исправления известных уязвимостей и развертывание передовых средств обнаружения, способных идентифицировать необычную сетевую активность.
Продолжающийся киберконфликт
Деятельность MirrorFace APT подчеркивает постоянную природу кибершпионажа и важность скоординированных усилий по обеспечению кибербезопасности. Хотя властям удалось отследить и проанализировать методы группы, сохраняется проблема смягчения ее воздействия и опережения будущих атак. Поскольку субъекты угроз продолжают совершенствовать свои методы, страны и организации должны усилить свою защиту для защиты конфиденциальной информации от несанкционированного доступа.
