СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
21.03.2025
#Dev#ИБ

Новая угроза: APT-группа MirrorFace атакует дипломатов Европы

Новая угроза: APT-группа MirrorFace атакует дипломатов Европы

Источник: www.welivesecurity.com

Исследователи ESET представили новый отчет, в котором рассмотрено значительное расширение деятельности группы APT, известной как MirrorFace. Эта группа, традиционно сосредоточенная на японских целях, теперь начинает активное вмешательство в центральноевропейский дипломатический сектор, особенно в преддверии выставки Expo 2025 в Осаке, Япония. Операция, получившая название «Операция АкайРи», продемонстрировала эволюцию тактики, методов и процедур группировки.

Особенности операции AкайРи

Операция AкайРи стала первым известным случаем, когда MirrorFacetarget проникла в дипломатические институты Центральной Европы. Основные моменты, которым стоит уделить внимание:

  • Использование адаптированного варианта AsyncRAT;
  • Повторное использование бэкдора ANEL, ранее связанного с APT10;
  • Сложная цепочка выполнения операций.

Кибершпионы начали кампанию с тщательно разработанных электронных писем, которые якобы содержали законную информацию от института. Затем они отправили второе сообщение с вредоносным файлом LNK, замаскированным под документ Word. Этот метод обманом заставлял пользователей выполнять команды, активирующие ANEL.

Скрытность и методология

Анализ показал, что бэкдор ANEL функционирует в зашифрованном виде на диске, расшифровываясь только в памяти, что значительно увеличивает скрытность операций группы. MirrorFace также использует:

  • Visual Studio Code для удаленного доступа через туннелирование;
  • Изолированную среду Windows для выполнения операций.

Эти сложные методы усложняют процессы реагирования на инциденты и предоставляют злоумышленникам дополнительные возможности для доступа и извлечения конфиденциальной информации.

Текущие угрозы и будущее

С июня по сентябрь 2024 года MirrorFace активно проводила различные кампании по подводному охоте, получая доступ в основном через вредоносные вложения и мошеннические сообщения. Масштаб операций значительно затрудняет расследование из-за удаления предоставленных инструментов и журналов событий.

Тактика группы указывает на её стратегическую эволюцию, направленную на Японию и связанные с ней организации, что несомненно сигнализирует о потенциальных угрозах в будущем. Как отмечает один из исследователей ESET: «Сочетание обновленных TTP и фокуса на конкретных целях открывает новые горизонты для APT-групп, таких как MirrorFace.»

ESET продолжает совместную работу с заинтересованными организациями, стремясь пролить свет на эти сложные тактики и углубить понимание поведения групп APT.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: