MirrorFace: ANEL и AsyncRAT в новой кибершпионской операции

Группа MirrorFace, также известная как Earth Kasha и являющаяся подразделением APT10, из традиционного набора целей в Японии теперь нацелилась на дипломатическую организацию в Центральной Европе.
MirrorFace: ANEL и AsyncRAT в новой кибершпионской операции
Изображение носит иллюстративный характер

Операция под кодовым названием Operation AkaiRyū ведется с 2019 года и была обнаружена в конце августа 2024 года компанией ESET, совпав с подготовкой мероприятия Word Expo в Осаке, запланированного на следующий месяц.

В атаке применен обновленный бэкдор ANEL (также именуемый UPPERCUT), ранее выведенный из эксплуатации в конце 2018 или начале 2019 года, который вернулся в ряды используемых инструментов.

Модифицированная версия AsyncRAT была существенно кастомизирована для этой кампании, что демонстрирует эволюцию тактического арсенала MirrorFace.

Эксклюзивно для группы запущен уникальный модульный бэкдор HiddenFace (NOOPDOOR), призванный обеспечить дополнительные возможности скрытного доступа.

Метод атаки начинается с использования тактики spear-phishing: жертвам направляются документы с ловушками или ссылки, при нажатии на которые происходит запуск загрузчика ANELLDR через DLL side-loading, позволяющего дешифровать и активировать ANEL.

Для обеспечения скрытного доступа злоумышленники используют Visual Studio Code Remote Tunnels – метод, ставший популярным среди китайских хакерских групп за счет своей эффективности.

Усовершенствованные меры оперативной безопасности включают удаление доставленных инструментов и файлов, очистку журналов Windows и выполнение вредоносного кода в среде Windows Sandbox, что значительно затрудняет расследования и оставляет недостающие элементы в цепочке доказательств, как ранее отмечалось в Campaign C, задокументированной NPA и NCSC в январе.


Новое на сайте

20204Дыра в Argo CD: почему 18 месяцев без патча — это катастрофа? 20203WhatsApp запускает имена пользователей: теперь можно общаться без раскрытия номера... 20202Почему США пришлось заморозить сильнейший ИИ Anthropic — и чего это стоило отрасли? 20201Ousaban: бразильский банковский троян, который охотится на клиентов испанских и... 20200Три новые группировки вымогателей: Citrix Bleed 2, уязвимые драйверы и атаки через... 20198Тупиковый майнинг биткоина тратит столько энергии, сколько вырабатывают все гэс Швейцарии... 20197DuneSlide: как два скрытых промпта позволяли захватить машину разработчика через Cursor 20196Уязвимость в Progress Kemp LoadMaster: кто уже пытается взломать ваш балансировщик? 20194Критическая уязвимость в SimpleHelp позволяет красть данные из облаков, кошельков и... 20193Ультрабыстрые лазеры поместились на чип: как журналистика о науке работает без самой науки 20192Почему Adobe выпускает патчи дважды в месяц и что скрывается за семью уязвимостями с... 20191Два миллиона домашних устройств работали прокси-сетью — и никто из владельцев об этом не...
Ссылка