.
A Agência Nacional de Polícia e o Centro de Preparação para Incidentes e Estratégia para Segurança Cibernética do Japão confirmaram relatos de terceiros sobre ataques a organizações locais, publicando detalhes de uma série de ataques de anos atribuídos a uma fonte apoiada pela China.
As agências chamaram o ator de “MirrorFace”, também conhecido como “Earth Kasha”, e delinearam uma campanha que alegam ter começado em 2019 e visto pelo menos três ondas de ataques que continuaram em 2024. O relatório das agências segue alegações semelhantes levantadas no ano passado pela infosec. fornecedores Trend Micro e Broadcom. O suposto agressor também está ligado à gangue APT 10.
A primeira onda de ataques ocorreu de dezembro de 2019 a julho de 2023 e viu e-mails de phishing enviados a alvos de grupos de reflexão, agências governamentais, políticos e organizações de mídia. As mensagens às vezes incluíam malware em arquivos anexados, enquanto outras iniciavam conversas nas quais o remetente se oferecia para enviar informações de acordo com o tópico em questão e, em vez disso, enviava malware denominado “LODEINFO”, “LilimRAT” e “NOOPDOOR”. Todas são cepas de malware conhecidas.
Uma segunda campanha ocorreu de fevereiro de 2023 a meados de 2024 e viu os invasores explorarem pontos fracos conhecidos no TLS 1.0, usarem certificados de cliente que de alguma forma obtiveram para autenticação e empregarem ataques de injeção de SQL. Aparentemente, os invasores também instalaram a ferramenta de tunelamento Neo-reGeorg e WebShells de código aberto em VPNs.
Após os ataques, as autoridades japonesas observaram abuso de servidores Active Directory e acesso não autorizado ao Microsoft 365. A tradução automática de documentos da Polícia Nacional sugere que “acesso não autorizado a servidores de virtualização e aquisição de imagens de máquinas virtuais” foi outro resultado. O mesmo ocorreu com a implantação dos malwares Cobalt Strike BEACON, LODEINFO e NOOPDOOR.
Os setores de semicondutores, manufatura, informação e comunicações, acadêmico e aeroespacial do Japão foram o alvo da segunda onda de ataques.
A terceira campanha começou em junho de 2024 e envolveu novamente phishing, desta vez para enviar documentos que permitiam a execução de macros em aplicativos do Microsoft Office.
Novamente, o malware NOOPDOOR foi descartado quando possível, junto com outra cepa chamada “ANEL” que se acredita fazer parte do arsenal do APT10. A academia, grupos de reflexão, políticos e meios de comunicação social estavam entre os alvos.
Assustadoramente, os investigadores do Japão observaram que esta campanha às vezes via malware em execução na sandbox do Windows, a não exatamente uma VM que a Microsoft oferece para executar código isoladamente em algumas versões do Windows 10 e 11. Um documento em idioma japonês [PDF] explica que o malware aproveitou o fato de que a sandbox do Windows pode ser configurada para permitir a interação com uma máquina host e que as instruções de um servidor de comando e controle direcionaram o código da sandbox para fazer isso.
Qualquer coisa na sandbox do Windows deve desaparecer após a reinicialização do sistema, o que oculta muito bem os rastros dos invasores e significa que eles não podem estabelecer uma presença persistente.
Esses malfeitores podem não ter precisado desse acesso contínuo, pois parece que usaram o acesso proporcionado pelos seus vários ataques e ferramentas para explorar vulnerabilidades conhecidas nos produtos Fortinet e Citrix, permitindo novas incursões.
As autoridades japonesas instaram as empresas locais a aprenderem com a documentação fornecida sobre os ataques e a reforçarem as suas defesas.
Essa ligação pode ser muito pequena, muito tarde, pois em 2018 – antes do início desta onda de ataques – o Google alertou que a ATP 10 havia lançado uma nova campanha de phishing contra alvos japoneses e vinha conduzindo campanhas semelhantes desde 2009.®
.
