Компания ESET ― лидер в области информационной безопасности ― сообщает об обнаружении кибершпионской деятельности APT-группы MirrorFace, нацеленной на центральноевропейский дипломатический институт в середине 2024 года. Во время атаки AkaiRyū злоумышленники использовали тему Всемирной выставки Expo 2025 для фишинг-атаки, а также ряд вредоносных инструментов для дальнейшей компрометации целей.
«Атака MirrorFace на центральноевропейский дипломатический институт ― это первый и, на сегодняшний день, единственный раз, когда эта группа нацелилась на учреждение в Европе», ― комментирует Доминик Брейтенбахер, исследователь ESET.
Злоумышленники MirrorFace совершили фишинг-атаку с помощью сообщения электронной почты, ссылаясь на предыдущее легитимное взаимодействие между институтом и японской негосударственной организацией. Во время этой атаки злоумышленники использовали тему Всемирной выставки Expo 2025, которая состоится в Осаке, Япония, как приманку. Первоначально киберпреступники атаковали двух сотрудников японского научно-исследовательского института, используя вредоносный, защищенный паролем документ Word, доставленный неизвестным образом.
Стоит отметить, что группа MirrorFace связана с Китаем и известна прежде всего своим кибершпионажем за организациями в Японии.
Вредоносные инструменты, которые использовали киберпреступники
В ходе анализа исследователи ESET обнаружили, что MirrorFace обновила свои инструменты и техники. В частности, злоумышленники начали использовать бэкдор ANEL (также известный как UPPERCUT), ранее связанный исключительно с группой APT10, который поддерживает базовые команды для работы с файлами, выполнения компонента и создания снимков экрана.
«Использование ANEL также является дополнительным доказательством потенциальной связи между MirrorFace и APT10. Тот факт, что MirrorFace начала использовать ANEL вместе с другой ранее обнаруженной информацией о сходстве целей и кода вредоносного программного обеспечения заставляет нас считать, что MirrorFace является группой в составе APT10», – добавляет исследователь ESET.
Также MirrorFace развернула специальный вариант вредоносного программного обеспечения AsyncRAT, вставив его в недавно обнаруженную сложную цепь исполнения, которая запускает троян удаленного доступа в Windows Sandbox. Этот метод эффективно скрывает вредоносную деятельность от средств контроля безопасности для выявления компрометации.
В период с июня по сентябрь 2024 года исследователи ESET наблюдали за многочисленными фишинговыми атаками MirrorFace. Согласно данным ESET, злоумышленники преимущественно получали начальный доступ, обманом заставляя открыть вредоносные вложения или ссылки, а затем использовали легитимные программы и инструменты для незаметной установки вредоносного программного обеспечения. В частности, во время операции AkaiRyū группа MirrorFace несанкционированно использовала программы, разработанные McAfee и JustSystems для запуска ANEL. Однако исследователи ESET не смогли определить, как MirrorFace экспортировала данные, а также были ли эти данные перехвачены.
Чтобы не стать жертвой подобных атак, не открывайте подозрительные сообщения или письма и не загружайте неизвестные файлы в электронной почте. Также следует обеспечить мощную киберзащиту организаций, например, с помощью комплексного решения ESET PROTECT Elite для предотвращения угроз, их обнаружения и быстрого реагирования (XDR).