MirrorFace APT：針對日本的持續網路威脅

長期的間諜活動

日本的網路安全格局面臨 MirrorFace APT 形式的持續挑戰，該組織是一個複雜的網路間諜組織，據信與中國有聯繫。該威脅行為者至少自 2019 年以來一直在策劃有針對性的攻擊，重點是滲透日本各地的組織、企業和知名人士。國家警察局 (NPA) 和國家網路安全事件準備和戰略中心 (NCSC) 當局指出，MirrorFace 是網路行動的主要參與者，旨在收集與國家安全和技術進步相關的情報。

MirrorFace 及其與 APT10 的連接

MirrorFace，也稱為 Earth Kasha，被認為是較大的 APT10 組織的附屬機構，該組織有針對多個國家進行網路間諜活動的歷史。該組織利用一系列客製化和公開可用的工具來執行其操作，包括 ANEL、LODEINFO 和 NOOPDOOR（也稱為 HiddenFace）。

該威脅組織以採用魚叉式網路釣魚策略和利用安全漏洞滲透目標系統而聞名。雖然日本仍然是主要焦點，但在台灣和印度的業務也有所觀察，這表明其具有更廣泛的戰略利益。

隨著時間的推移，活動不斷展開

MirrorFace 的活動分為三個不同的活動，每個活動都採用特定的技術和工具來破壞網路和竊取資料：

針對政治和媒體實體（2019-2023）

第一場重大活動從 2019 年 12 月到 2023 年 7 月，重點關注政治機構、媒體、政府機構和研究組織。透過部署魚叉式網路釣魚電子郵件，攻擊者分發了惡意負載，例如 LODEINFO、NOOPDOOR 以及Lilith RAT (LilimRAT) 的客製化變體，專為資訊收集和遠端存取而設計。

利用關鍵產業的安全弱點 (2023)

第二波攻擊發生在 2023 年 2 月至 10 月期間，將注意力轉移到對日本經濟和技術基礎設施至關重要的產業。半導體製造、通訊、航空航太和學術界等產業是主要目標。此階段涉及利用面向互聯網的設備中的已知漏洞，特別是與 Array Networks、Citrix 和 Fortinet 相關的設備。透過利用這些弱點，攻擊者部署了Cobalt Strike Beacon 、LODEINFO 和 NOOPDOOR 等工具，以在企業網路中獲得立足點。

最近的策略與適應（2024 年至今）

最新的已知活動於 2024 年 6 月出現，再次聚焦於學術界、研究機構、政治人物和媒體人員。魚叉式網路釣魚仍然是主要的進入方法，攻擊者透過傳遞 ANEL（也稱為 UPPERCUT）來破壞系統並建立持久存取。

先進的隱身與持久技術

MirrorFace 已展現出調整其策略以繞過現代安全措施的能力。其值得注意的技術之一涉及使用 Visual Studio Code 遠端隧道，這使得該組織能夠在逃避偵測的同時保持對受感染系統的秘密控制。

此外，該組織還被發現在 Windows Sandbox 中執行惡意負載，這是一項專為安全應用程式測試而設計的功能。透過在這個隔離的環境中執行有害程式碼，攻擊者可以確保其活動痕跡在系統重新啟動時消失，從而阻止取證分析發現關鍵證據。

對網路安全和防禦的影響

MirrorFace 的持續運作凸顯了日本和更廣泛的亞太地區面臨的不斷變化的網路威脅。鑑於該組織關注國家安全、技術和工業，其活動可能對政府政策和私營部門安全戰略產生重大影響。

在高風險產業中運作的組織必須保持警惕，並採取主動的網路安全措施來應對此類威脅。這包括加強電子郵件安全、定期更新軟體以修補已知漏洞，以及部署能夠識別異常網路活動的進階偵測工具。

持續的網路衝突

MirrorFace APT 的活動凸顯了網路間諜活動的持續性以及協調網路安全工作的重要性。雖然當局已經能夠追蹤和分析該組織的方法，但持續的挑戰仍然是減輕其影響並在未來的攻擊中保持領先地位。隨著威脅行為者不斷完善其技術，國家和組織必須加強防禦，以保護敏感資訊免遭未經授權的存取。