MirrorFace Leverages ANEL and NOOPDOOR in Multi-Year Cyberattacks on Japan
2025/01/09 TheHackerNews — 中国の脅威アクターである MirrorFace が、2019年より国内の組織/企業/個人を標的とした持続的な攻撃キャンペーンを展開しているとして、日本の警察庁と内閣サイバーセキュリティセンター (NCSC) は、非難している。この攻撃キャンペーンの主目的は、日本の国家安全保障および先端技術に関する情報の窃取であると、両機関は述べている。
MirrorFace (別名:Earth Kasha) は、APT10 内のサブ・グループであると推定されている。過去において APT10 は、ANEL/LODEINFO/NOOPDOOR (別名 HiddenFace) などのツールを活用し、日本の企業を組織的に攻撃してきた。
2024年12月には、日本の個人および組織に対する ANEL と NOOPDOOR の配信を目的としたスピア・フィッシング・キャンペーンが、Trend Micro から報告されている。さらに、台湾やインドを標的としたキャンペーンも観測されている。
MirrorFace による攻撃は、以下の3つの主要なキャンペーンに大別されると、警察庁と NCSC は述べている:
- Campaign A (2019年12月〜2023年7月):スピア・フィッシング・メールを使用して、LODEINFO/NOOPDOOR/LilimRAT (OSS Lilith RAT のカスタム版) などを配信するキャンペーン。シンクタンク/政府/政治家/メディア組織などを標的に展開された。
- Campaign B (2023年2月〜10月):インターネットに露出する Array Networks/Citrix/Fortinet のデバイスに存在する、既知の脆弱性を悪用してネットワークに侵入し、Cobalt Strike Beacon/LODEINFO/NOOPDOOR などを配信するキャンペーン。半導体/製造/通信/学術/航空宇宙などの分野を標的にしている。
- Campaign C (2024年6月〜):学術機関/シンクタンク/政治家/メディア組織などを標的としたキャンペーンで、スピア・フィッシング・メールを使用して、ANEL (別名UPPERCUT) を配信する。
これらのキャンペーンの特徴は、Visual Studio Code のリモート・トンネルを悪用して、秘密裏に接続を確立している点である。それにより、脅威アクターはネットワーク保護を回避し、侵害したシステムに対するリモート制御の可能性を得る。
さらに、遅くとも 2023年6月以降から、攻撃者はホスト・コンピュータ内の Windows Sandbox に格納された悪意のペイロードを密かに実行し、C2 サーバと通信していた事も確認されたと、警察庁と NCSC は指摘している。
警察庁とNCSCは、「この手口により、攻撃者は、ホスト・コンピュータ上のアンチ・ウイルス・ソフトや EDR による監視を逃れて、マルウェアを実行する可能性を手にする。さらに、ホスト・コンピュータが
シャットダウンまたは再起動されると、Windows Sandbox 内の痕跡が消去されるため、証拠が残らない」と述べている。
米国では、やはり中国の APT である、Salt Typhoon によるテレコムへの侵害が続いています。さまざまな地域で緊張が高まり、その結果として、このようなキャンペーンが増えているのでしょう。この種の侵害が続く、2025年になりそうですね。よろしければ、カテゴリ APT を ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.