MirrorFace APT：针对日本的持续性网络威胁

长期的间谍行动

日本的网络安全领域一直面临着来自 MirrorFace APT 的挑战，这是一个复杂的网络间谍组织，据信与中国有联系。该威胁行为者至少从 2019 年开始策划有针对性的攻击，重点是渗透日本各地的组织、企业和知名人士。国家警察厅 (NPA) 和国家网络安全事件准备和战略中心 (NCSC) 的官员指出，MirrorFace 是网络行动的主要参与者，旨在收集与国家安全和技术进步相关的情报。

MirrorFace 及其与 APT10 的联系

MirrorFace 又名 Earth Kasha，被认为是规模更大的 APT10 组织的附属组织，该组织曾对多个国家进行过网络间谍活动。该组织利用一系列定制和公开可用的工具来执行其行动，包括 ANEL、LODEINFO 和 NOOPDOOR（也称为 HiddenFace）。

该威胁组织以采用鱼叉式网络钓鱼策略和利用安全漏洞入侵目标系统而闻名。虽然日本仍然是主要目标，但台湾和印度也发现了该组织的行动，这表明其具有更广泛的战略利益。

随着时间的推移，活动不断展开

MirrorFace 的活动分为三个不同的活动，每个活动都采用特定的技术和工具来侵入网络并窃取数据：

针对政治和媒体实体（2019-2023 年）

第一次大规模攻击活动从 2019 年 12 月持续到 2023 年 7 月，主要针对政治机构、媒体、政府机构和研究组织。通过部署鱼叉式网络钓鱼电子邮件，攻击者分发了恶意负载，例如 LODEINFO、NOOPDOOR 和Lilith RAT的定制变体 (LilimRAT)，这些负载旨在收集信息和进行远程访问。

利用关键行业的安全漏洞（2023）

第二波攻击发生在 2023 年 2 月至 10 月之间，攻击重点转向对日本经济和技术基础设施至关重要的行业。半导体制造、通信、航空航天和学术界等行业是主要目标。此阶段涉及利用面向互联网的设备中已知的漏洞，特别是与 Array Networks、Citrix 和 Fortinet 相关的漏洞。通过利用这些弱点，攻击者部署了Cobalt Strike Beacon 、LODEINFO 和 NOOPDOOR 等工具，以在企业网络中立足。

近期策略与适应（2024 年至今）

最新的已知活动于 2024 年 6 月出现，再次将重点放在学术界、研究机构、政治人物和媒体人员身上。鱼叉式网络钓鱼仍然是主要的入侵方式，攻击者会发送 ANEL（也称为 UPPERCUT）来破坏系统并建立持久访问权限。

隐身和持久的高级技巧

MirrorFace 已证明其能够调整策略以绕过现代安全措施。其一项值得注意的技术是使用 Visual Studio Code 远程隧道，这使该组织能够在逃避检测的同时保持对受感染系统的秘密控制。

此外，据观察，该组织在 Windows Sandbox（一项专为安全应用程序测试而设计的功能）中执行恶意负载。通过在这个隔离环境中运行有害代码，攻击者可确保其活动痕迹在系统重新启动时消失，从而阻止取证分析发现关键证据。

对网络安全和国防的影响

MirrorFace 的持续运营凸显了日本乃至整个亚太地区面临的网络威胁不断升级。鉴于该组织专注于国家安全、技术和行业，其活动可能对政府政策和私营部门的安全战略产生重大影响。

在高风险行业运营的组织必须保持警惕并采取主动的网络安全措施来应对此类威胁。这包括加强电子邮件安全、定期更新软件以修补已知漏洞，以及部署能够识别异常网络活动的高级检测工具。

持续的网络冲突

MirrorFace APT 的活动凸显了网络间谍活动的持久性以及协调网络安全工作的重要性。尽管当局已经能够追踪和分析该组织的方法，但当前的挑战仍然是如何减轻其影响并领先于未来的攻击。随着威胁行为者不断改进其技术，国家和组织必须加强防御，以保护敏感信息免遭未经授权的访问。