Jan 09, 2025Ravie LakshmananCybersecurity/Malware Wakala wa Kitaifa wa Polisi wa Japani (NPA) na Kituo cha Kitaifa cha Utayari wa Matukio na Mikakati ya Usalama wa Mtandao (NCSC) walimshtumu mwigizaji tishio anayehusishwa na Uchina aitwaye MirrorFace kwa kuandaa shirika linaloendelea, la kushambulia, na kulenga biashara inayoendelea. na watu binafsi nchini tangu 2019. Msingi lengo la kampeni ya mashambulizi ni kuiba taarifa zinazohusiana na usalama wa taifa wa Japan na teknolojia ya juu, mashirika alisema. MirrorFace, ambayo pia inafuatiliwa kama Earth Kasha, inakadiriwa kuwa kikundi kidogo ndani ya APT10. Ina rekodi ya kufuatilia huluki za Kijapani zinazovutia, mara nyingi hutumia zana kama vile ANEL, LODEINFO, na NOOPDOOR (aka HiddenFace). Mwezi uliopita, Trend Micro ilifichua maelezo ya kampeni ya wizi wa data binafsi iliyolenga watu binafsi na mashirika nchini Japani kwa lengo la kuwasilisha ANEL na NOOPDOOR. Kampeni zingine zilizozingatiwa katika miaka ya hivi karibuni pia zimeelekezwa dhidi ya Taiwan na India. Kulingana na NPA na NCSC, mashambulizi yaliyowekwa na MirrorFace yamegawanywa kwa upana katika kampeni kuu tatu – Kampeni A (Kuanzia Desemba 2019 hadi Julai 2023), inayolenga mizinga, serikali, wanasiasa, na mashirika ya vyombo vya habari kwa kutumia barua pepe za kuhadaa ili kuwasilisha LODEINFO, NOOPDOOR, na LilimRAT (toleo maalum la Kampeni B ya chanzo huria ya Lilith RAT) (Kuanzia Februari hadi Oktoba 2023), ikilenga sekta za semiconductor, utengenezaji, mawasiliano, taaluma na anga kwa kutumia udhaifu unaojulikana katika vifaa vinavyohusiana na mtandao vya Array Networks, Citrix, na Fortinet ili kukiuka mitandao ili kuwasilisha Cobalt Strike Beacon, LODEINFO, na Kampeni ya NOOPDOOR. C (Kuanzia Juni 2024), ikilenga wasomi, mizinga, wanasiasa, na mashirika ya habari yanayotumia barua pepe za kuhadaa ili kuwasilisha ANEL (aka UPPERCUT) Mashambulizi hayo pia yana sifa ya matumizi ya vichuguu vya mbali vya Visual Studio Code kuanzisha miunganisho ya siri, na hivyo kuruhusu wahusika tishio kukwepa ulinzi wa mtandao na kudhibiti mifumo iliyoathiriwa kwa mbali. . Mashirika hayo pia yalibainisha kuwa yaliona matukio ambapo washambuliaji walitekeleza kwa siri upakiaji wa malipo hasidi uliohifadhiwa kwenye kompyuta mwenyeji ndani ya Windows Sandbox na wamewasiliana na seva ya amri na udhibiti tangu angalau Juni 2023. “Njia hii inaruhusu programu hasidi kutekelezwa bila kufuatiliwa na programu ya kingavirusi au EDR kwenye kompyuta mwenyeji, na kompyuta mwenyeji inapozimwa au kuwashwa upya, vifuatilizi kwenye Sanduku la Mchanga la Windows hufutwa, kwa hivyo ushahidi unawezekana. haijaachwa nyuma, “NPA na NCSC zilisema. Je, umepata makala hii ya kuvutia? Tufuate kwenye Twitter na LinkedIn ili kusoma maudhui ya kipekee tunayochapisha.
Leave a Reply