Компанія ESET ― лідер у галузі інформаційної безпеки ― повідомляє про виявлення кібершпигунської діяльності APT-групи MirrorFace, націленої на центральноєвропейський дипломатичний інститут у середині 2024 року. Під час атаки AkaiRyū зловмисники використали тему Всесвітньої виставки Expo 2025 для фішинг-атаки, а також ряд шкідливих інструментів для подальшої компрометації цілей.
«Атака MirrorFace на центральноєвропейський дипломатичний інститут — це перший і, на сьогоднішній день, єдиний раз, коли ця група націлилась на установу у Європі», — коментує Домінік Брейтенбахер, дослідник ESET.
Зловмисники MirrorFace здійснили фішинг-атаку за допомогою повідомлення електронної пошти, посилаючись на попередню легітимну взаємодію між інститутом та японською недержавною організацією. Під час цієї атаки зловмисник використав тему Всесвітньої виставки Expo 2025, яка відбудеться в Осаці, Японія, як приманку. Спочатку кіберзлочинці атакували двох співробітників японського науково-дослідного інституту, використовуючи шкідливий, захищений паролем документ Word, доставлений невідомим чином.
Варто зазначити, що група MirrorFace пов’язана з Китаєм та відома насамперед своїми кібершпигунством за організаціями в Японії.
Шкідливі інструменти, які використали кіберзлочинці
Під час аналізу дослідники ESET виявили, що MirrorFace оновила свої інструменти та техніки. Зокрема зловмисники почали використовувати бекдор ANEL (також відомий як UPPERCUT), раніше пов’язаний виключно з групою APT10, який підтримує базові команди для роботи з файлами, виконання компоненту та створення знімків екрана.
«Використання ANEL також є додатковим доказом потенційного зв’язку між MirrorFace та APT10. Той факт, що MirrorFace почала використовувати ANEL, разом з іншою раніше виявленою інформацією про подібність цілей та схожість коду шкідливого програмного забезпечення, змушує нас вважати, що MirrorFace є підгрупою у складі APT10», – додає дослідник ESET.
Також MirrorFace розгорнула спеціальний варіант шкідливого програмного забезпечення AsyncRAT, вставивши його в нещодавно виявлений складний ланцюг виконання, який запускає троян віддаленого доступу у Windows Sandbox. Цей метод ефективно приховує шкідливу діяльність від засобів контролю безпеки для виявлення компрометації.
У період з червня до вересня 2024 року дослідники ESET спостерігали за численними фішинговими атаками MirrorFace. Згідно з даними ESET, зловмисники переважно отримували початковий доступ, обманом змушуючи відкрити шкідливі вкладення або посилання, а потім використовували легітимні програми та інструменти для непомітного встановлення шкідливого програмного забезпечення. Зокрема, під час операції AkaiRyū група MirrorFace несанкціоновано використовувала програми, розроблені McAfee та JustSystems для запуску ANEL. Однак дослідники ESET не змогли визначити, як MirrorFace експортувала дані, а також чи були ці дані перехоплені.
Щоб не стати жертвою подібних атак, слід не відкривати підозрілі повідомлення чи листи та не завантажувати невідомі файли в електронній пошті. Також варто забезпечити потужний кіберзахист організацій, наприклад, за допомогою комплексного рішення ESET PROTECT Elite для запобігання загрозам, їх виявлення та швидкого реагування (XDR).