fbpx

A MirrorFace hackercsoport 2019 óta támadja a japán kormányt és politikusokat

A Japán Nemzeti Rendőrügynökség (NPA) és a Kabinet Kiberbiztonsági Központja összekapcsolta az ország elleni kiberteszemkampányt a kínai állam támogatását élvező „MirrorFace” hackercsoporttal.

Többéves kampány Japán ellen

A kampány 2019 óta tart, és továbbra is aktív. A japán nyomozók különböző szakaszokat azonosítottak, amelyek eltérő célpontokkal és támadási módszerekkel jellemezhetők. Az akciók központi célja értékes japán technológiák megszerzése és nemzetbiztonsági hírszerzés gyűjtése.

A „MirrorFace”, más néven „Earth Kasha”, korábban is támadta japán politikusokat választások előtt, amikor adathalász e-maileken keresztül a „MirrorStealer” hitelesítő adatlopót és a „LODEINFO” hátsó ajtó programot telepítettek.

Kormányzati és technológiai célpontok támadása

Az NPA elemzése szerint a kínai hackerek hálózati eszközök sebezhetőségeit használják ki, például az alábbi hibákat:

  • CVE-2023-28461 (Array Networks)
  • CVE-2023-27997 (Fortinet eszközök)
  • CVE-2023-3519 (Citrix ADC/Gateway)

A hálózatok feltörése után a fenyegetés szereplői olyan rosszindulatú programokat telepítenek, mint a LODEINFOANELNOOPDOOR, amelyek adatlopásra és hosszú távú hozzáférés biztosítására alkalmasak.

Három azonosított kampány

1. A kampány (2019–2023): Gondolati műhelyek, kormányzati szervek, politikusok és média célzása rosszindulatú e-mailekkel az információlopás érdekében.

2. B kampány (2023): Internetkapcsolattal rendelkező eszközök szoftverhibáinak kihasználása a félvezetőgyártás, az IKT, az akadémiai és az űrkutatási szektorok ellen Japánban.

3. C kampány (2024–jelen): Rosszindulatú e-mail linkek használata akadémiai intézmények, gondolati műhelyek, politikusok és média fertőzésére.

Rejtőzködési módszerek: VSCode alagutak és Windows Sandbox

Az NPA két módszert emelt ki, amelyeket a MirrorFace hosszú távú hálózati jelenlétének fenntartására használ:

1. Visual Studio Code (VSCode) alagutak: Az ANEL rosszindulatú program által létrehozott alagutak segítségével PowerShell parancsokat hajtanak végre a fertőzött rendszereken. Ezt a módszert a MirrorFace legalább 2024 júniusa óta alkalmazza.

2. Windows Sandbox: 2023 júniusa óta alkalmazott módszer, amely a LOADEINFO program elkülönített környezetben való futtatására szolgál, megkerülve a vírusvédelmi észlelést. A sandbox lehetővé teszi a távoli vezérlőszerverekkel való kommunikációt, miközben a helyi fájlrendszerhez is hozzáférést biztosít a gazdagépen keresztül.

Az oldal tartalma nem másolható!