Ssylka

MirrorFace: ANEL и AsyncRAT в новой кибершпионской операции

Группа MirrorFace, также известная как Earth Kasha и являющаяся подразделением APT10, из традиционного набора целей в Японии теперь нацелилась на дипломатическую организацию в Центральной Европе.
MirrorFace: ANEL и AsyncRAT в новой кибершпионской операции
Изображение носит иллюстративный характер

Операция под кодовым названием Operation AkaiRyū ведется с 2019 года и была обнаружена в конце августа 2024 года компанией ESET, совпав с подготовкой мероприятия Word Expo в Осаке, запланированного на следующий месяц.

В атаке применен обновленный бэкдор ANEL (также именуемый UPPERCUT), ранее выведенный из эксплуатации в конце 2018 или начале 2019 года, который вернулся в ряды используемых инструментов.

Модифицированная версия AsyncRAT была существенно кастомизирована для этой кампании, что демонстрирует эволюцию тактического арсенала MirrorFace.

Эксклюзивно для группы запущен уникальный модульный бэкдор HiddenFace (NOOPDOOR), призванный обеспечить дополнительные возможности скрытного доступа.

Метод атаки начинается с использования тактики spear-phishing: жертвам направляются документы с ловушками или ссылки, при нажатии на которые происходит запуск загрузчика ANELLDR через DLL side-loading, позволяющего дешифровать и активировать ANEL.

Для обеспечения скрытного доступа злоумышленники используют Visual Studio Code Remote Tunnels – метод, ставший популярным среди китайских хакерских групп за счет своей эффективности.

Усовершенствованные меры оперативной безопасности включают удаление доставленных инструментов и файлов, очистку журналов Windows и выполнение вредоносного кода в среде Windows Sandbox, что значительно затрудняет расследования и оставляет недостающие элементы в цепочке доказательств, как ранее отмечалось в Campaign C, задокументированной NPA и NCSC в январе.


Новое на сайте

15648Научный оазис в скалистых горах: как заброшенный шахтёрский городок стал центром мировых... 15647Лоррейн Келли успокаивает поклонников перед хирургической операцией 15646Как вредоносные Go-модули стирают диски Linux-систем через атаки на цепочку поставок? 156459 незаменимых электроинструментов для каждого дома: когда и как их использовать 15644Астроном-любитель из вермонта запечатлел впечатляющие галактики со своей домашней... 15643Как финансовые стимулы в законе об эвтаназии могут повлиять на уязвимые группы населения? 15642Как гусеница-коллекционер костей стала хищником в паутинах Гавайев? 15641Мелодии иллюзий: как музыка Роя Орбисона формирует кинематографический мир Дэвида Линча 15640Почему насекомые исчезают с лобовых стекол автомобилей? 15639Как жительница Чили с мышечной дистрофией стала символом борьбы за право на эвтаназию? 15638Почему диагноз аутизма стал ставиться в 8 раз чаще: изменение диагностической культуры... 15637Как древние математические последовательности привели к революционному решению полиномов... 15636Что скрывается за пределами Нептуна: новый кандидат на роль загадочной планеты девять? 15635Революционная обсерватория SPHEREx: NASA создаёт трехмерную карту вселенной 15634Стильный дом для фанатов: коллекция ковров Star Wars от Ruggable со скидкой к празднику