Ssylka

MirrorFace: ANEL и AsyncRAT в новой кибершпионской операции

Группа MirrorFace, также известная как Earth Kasha и являющаяся подразделением APT10, из традиционного набора целей в Японии теперь нацелилась на дипломатическую организацию в Центральной Европе.
MirrorFace: ANEL и AsyncRAT в новой кибершпионской операции
Изображение носит иллюстративный характер

Операция под кодовым названием Operation AkaiRyū ведется с 2019 года и была обнаружена в конце августа 2024 года компанией ESET, совпав с подготовкой мероприятия Word Expo в Осаке, запланированного на следующий месяц.

В атаке применен обновленный бэкдор ANEL (также именуемый UPPERCUT), ранее выведенный из эксплуатации в конце 2018 или начале 2019 года, который вернулся в ряды используемых инструментов.

Модифицированная версия AsyncRAT была существенно кастомизирована для этой кампании, что демонстрирует эволюцию тактического арсенала MirrorFace.

Эксклюзивно для группы запущен уникальный модульный бэкдор HiddenFace (NOOPDOOR), призванный обеспечить дополнительные возможности скрытного доступа.

Метод атаки начинается с использования тактики spear-phishing: жертвам направляются документы с ловушками или ссылки, при нажатии на которые происходит запуск загрузчика ANELLDR через DLL side-loading, позволяющего дешифровать и активировать ANEL.

Для обеспечения скрытного доступа злоумышленники используют Visual Studio Code Remote Tunnels – метод, ставший популярным среди китайских хакерских групп за счет своей эффективности.

Усовершенствованные меры оперативной безопасности включают удаление доставленных инструментов и файлов, очистку журналов Windows и выполнение вредоносного кода в среде Windows Sandbox, что значительно затрудняет расследования и оставляет недостающие элементы в цепочке доказательств, как ранее отмечалось в Campaign C, задокументированной NPA и NCSC в январе.


Новое на сайте

15389Подземное таяние под фундаментом северной Америки 15388NASA показала астероид Doughaldjohanson с формой булавы 15387Запрет восьми искусственных красителей в продуктах США: план Роберта Кеннеди-младшего 15386Как зловредный Docker-модуль использует Teneo Web3 для добычи криптовалюты через... 15385Влияние плана 529 на размер финансовой помощи в вузах 15384Первое свидетельство социального потребления алкоголя среди шимпанзе 15383Возвращение беверли Найт на родную сцену Веллингтона 15382«Череп» Марса: неожиданная находка ровера Perseverance в кратере Джезеро 15381Внутренние угрозы безопасности: браузеры как слабое звено в корпоративной защите 15380Тайна столкновения в скоплении персея раскрыта 15379Уязвимость ConfusedComposer в GCP Cloud Composer открывает путь к эскалации привилегий 15378Как когнитивные тесты помогают воспитать послушного щенка 15377Почему астероид Дональджонсон удивляет геологов всей сложностью? 15376Почему забыть отравление едой невозможно? 15375Стальная гнездовая коробка на мосту: надежная защита для орланов и автомобилистов