MirrorFace: ANEL и AsyncRAT в новой кибершпионской операции

Группа MirrorFace, также известная как Earth Kasha и являющаяся подразделением APT10, из традиционного набора целей в Японии теперь нацелилась на дипломатическую организацию в Центральной Европе.
MirrorFace: ANEL и AsyncRAT в новой кибершпионской операции
Изображение носит иллюстративный характер

Операция под кодовым названием Operation AkaiRyū ведется с 2019 года и была обнаружена в конце августа 2024 года компанией ESET, совпав с подготовкой мероприятия Word Expo в Осаке, запланированного на следующий месяц.

В атаке применен обновленный бэкдор ANEL (также именуемый UPPERCUT), ранее выведенный из эксплуатации в конце 2018 или начале 2019 года, который вернулся в ряды используемых инструментов.

Модифицированная версия AsyncRAT была существенно кастомизирована для этой кампании, что демонстрирует эволюцию тактического арсенала MirrorFace.

Эксклюзивно для группы запущен уникальный модульный бэкдор HiddenFace (NOOPDOOR), призванный обеспечить дополнительные возможности скрытного доступа.

Метод атаки начинается с использования тактики spear-phishing: жертвам направляются документы с ловушками или ссылки, при нажатии на которые происходит запуск загрузчика ANELLDR через DLL side-loading, позволяющего дешифровать и активировать ANEL.

Для обеспечения скрытного доступа злоумышленники используют Visual Studio Code Remote Tunnels – метод, ставший популярным среди китайских хакерских групп за счет своей эффективности.

Усовершенствованные меры оперативной безопасности включают удаление доставленных инструментов и файлов, очистку журналов Windows и выполнение вредоносного кода в среде Windows Sandbox, что значительно затрудняет расследования и оставляет недостающие элементы в цепочке доказательств, как ранее отмечалось в Campaign C, задокументированной NPA и NCSC в январе.


Новое на сайте

20275Может ли обычное письмо взломать вашу почту в Zimbra? 20274Зачем сразу несколько разведок взломали портал полиции Белуджистана? 20273Кошельки, которые «родились слабыми»: как уязвимость Ill Bloom стоила криптовладельцам... 20272Как мошенники используют фальшивую регистрацию passkey, чтобы захватить чужой Microsoft... 20271Как безобидный установщик 7-Zip превращает компьютер в чужой прокси-сервер? 20270Термометр, а не трофей: зачем всем вдруг понадобились базы уязвимостей 20269Почему кнопка «разрешить» в AI-редакторах кода может обмануть даже опытного разработчика? 20268Как китайская группировка Silver Fox превратила инструмент против цензуры в оружие для... 20266Почему физик из Лондона получил один из самых престижных призов в науке за измерение... 20265Сколько времени нужно хакеру, чтобы взломать вашу сеть — и успеете ли вы это заметить? 20264Как ИИ-агент, который должен ловить вирусы, сам стал вирусом 20263Переговорщик по выкупам работал на тех самых хакеров, от которых должен был защищать...
Ссылка