MirrorFace APT

日本の警察庁と内閣サイバーセキュリティセンター（NCSC）は、MirrorFaceとして知られる中国関連の脅威アクターが長期にわたるサイバー攻撃キャンペーンを画策していると非難した。2019年以来、このグループは日本全国の組織、企業、個人を標的とし、国家安全保障や先端技術に関する情報を盗むことを目指してきたとされている。

MirrorFace と APT10 のリンク

MirrorFace は Earth Kasha とも呼ばれ、有名なAPT10脅威アクターのサブグループであると考えられています。このグループは、ANEL、LODEINFO、NOOPDOOR (別名 HiddenFace) などの高度なツールを駆使して、日本の組織を組織的に攻撃し、目的を達成しています。

スピアフィッシングと標的の拡大

研究者らは、MirrorFace が日本の個人や組織を標的にして ANEL と NOOPDOOR を展開したスピアフィッシング攻撃の詳細を明らかにしました。長年にわたり、台湾とインドの組織を標的とした同様の攻撃が確認されており、このグループのより広範な戦略的関心を示しています。

3つの主要な攻撃キャンペーンが特定される

NPA と NCSC によると、MirrorFace の活動は 3 つの主要なキャンペーンに分類されています。

• キャンペーンA（2019年12月～2023年7月）：このフェーズでは、シンクタンク、政府機関、政治家、メディア組織に重点が置かれました。攻撃者はスピアフィッシングメールを使用して、 LODEINFO 、NOOPDOOR、およびLilimRATとして知られるLilith RATのカスタマイズバージョンを配信しました。
• キャンペーン B (2023 年 2 月～ 10 月) : この期間中、MirrorFace は半導体、製造、通信、学術、航空宇宙の各分野に重点を移しました。このグループは、Array Networks、Citrix、Fortinet のインターネット接続デバイスの既知の脆弱性を悪用してネットワークに侵入し、Cobalt Strike Beacon、LODEINFO、NOOPDOOR を展開しました。
• キャンペーン C (2024 年 6 月以降):最近の攻撃は、主に学術機関、シンクタンク、政治家、メディア組織を標的にしています。攻撃者は引き続きスピアフィッシング メールを使用しており、今回は ANEL (別名 UPPERCUT) を配信します。

回避技術と秘密通信

MirrorFace は、持続性を維持し、検出を回避するために高度な技術を採用しています。注目すべき戦術は、Visual Studio Code のリモート トンネルを使用して秘密の接続を確立し、脅威アクターがネットワーク防御を回避して侵害されたシステムをリモート制御できるようにすることです。

ステルス実行のための Windows サンドボックス

調査員は、攻撃者が Windows Sandbox 環境内で脅威となるペイロードを実行していることも発見しました。このアプローチにより、マルウェアはウイルス対策ソフトウェアやエンドポイント検出および対応 (EDR) システムに検出されることなく動作できます。さらに、ホスト コンピューターをシャットダウンまたは再起動すると、マルウェアの痕跡はすべて消去され、フォレンジック証拠は残りません。

国家安全保障に対する継続的な脅威

MirrorFace が使用する執拗かつ進化する戦術は、日本が直面しているサイバー脅威を浮き彫りにしています。このグループは、重要なセクターを標的にし、高度な回避戦略を採用することで、国家安全保障と技術の進歩に深刻な脅威を与え続けています。当局は、組織に対し、スピアフィッシング攻撃に対して警戒を怠らず、進化する脅威に対するサイバーセキュリティ防御を強化するよう求めています。