.jpg)
日本當局將網路間諜行動歸因於中國關聯的 APT 組織 MirrorFace
日本國家警察廳(NPA)和內閣網路安全中心(Cabinet Cyber Security Center)將針對當地機構的長期網路間諜行動,歸因於與中國有關的駭客組織 MirrorFace(又稱 Earth Kasha)。
這項攻擊行動自 2019 年至少已持續運作,主要針對日本的科技和國家安全,並不斷演變攻擊手法,以竊取先進技術與情報。
MirrorFace 最早於 2022 年被 ESET 發現,當時該組織針對日本政治機構發動攻擊,以影響選舉。
該組織利用網路設備漏洞進行入侵,包括 CVE-2023-28461(Array Networks)、CVE-2023-27997(Fortinet)和 CVE-2023-3519(Citrix)。
自 2019 年至 2024 年,MirrorFace 發動了三波主要的網路攻擊行動,目標涵蓋日本的智庫、政府機構、學術界及關鍵產業:
- 攻擊行動 A(2019–2023): 透過帶有惡意附件(LODEINFO)的電子郵件攻擊政治人物、媒體及政府機構。
- 攻擊行動 B(2023): 利用網路設備的軟體漏洞,鎖定半導體、製造業及航空航太產業。
- 攻擊行動 C(2024): 透過電子郵件內嵌連結傳送惡意程式(ANEL),攻擊學術機構及智庫,並發展出濫用 Visual Studio Code 的手法。
日本國家警察廳在報告中表示:
“NPA 網路特別調查課、警視廳及各都道府縣警方的分析顯示,這些行動是系統性網路攻擊,與中國有關,主要目標是竊取日本的國家安全及先進技術相關情報。”“本警報旨在揭露 MirrorFace 所使用的攻擊手法,並提升防範意識。”
在攻擊行動 A 和 C 中,駭客均使用魚叉式網路釣魚攻擊,但這兩波攻擊的惡意軟體和感染技術存在顯著差異。
- 攻擊行動 A 使用 LODEINFO 惡意軟體,透過附有惡意檔案的電子郵件感染系統。
- 攻擊行動 C 則利用 ANEL 惡意軟體,改為透過電子郵件內的連結誘導受害者點擊下載。
逃避偵測技術
MirrorFace 在攻擊行動中使用了兩種主要的偵測規避技術:
-
Visual Studio Code(VS Code)隧道技術(2024 年 6 月開始)
- 用於在受害系統上建立隱匿的通訊通道,接收 PowerShell 指令。
- 這種技術亦被其他中國關聯的 APT 組織使用。
-
Windows Sandbox 技術(2023 年 6 月開始)
- 駭客利用 Windows Sandbox 來執行 LOADEINFO 惡意軟體,藉此躲避防毒軟體的偵測。
- 由於 Microsoft Defender 無法監控 Sandbox 內的活動,駭客能在隔離環境內執行惡意程式,與遠端伺服器通訊,並透過共享資料夾維持對主機的存取權限。
NPA 安全建議NPA 安全建議
日本國家警察廳(NPA)建議系統管理員採取以下措施,以防範 MirrorFace 的攻擊:
- 實施集中式日誌管理,使用 SIEM 或 CISA 的「Logging Made Easy」等工具,以便追蹤入侵事件,確保能夠分析攻擊範圍與成因。
- 定期監控網路設備日誌,留意異常活動,例如未授權的登入或異常的 VPN 連線行為。
- 限制管理帳號權限,並監控不活躍帳號,以防止帳號被駭客利用。
- 持續關注網路設備漏洞,並及時安裝安全更新。
此外,NPA 亦建議:
- 停用不必要的功能,例如 Windows Sandbox,並監控開發工具(如 VS Code)的異常啟動行為。
- 嚴格追蹤防毒軟體的偵測記錄,即使惡意軟體已移除,仍須持續監測,以確保系統未遭進一步滲透。
蓋亞資訊是亞太區最大Anti-DDoS供應商,擁有最豐富的資安防護經驗,提供DDoS防禦、WAF、防網路機器人(bot management)等服務,致力於協助企業應對資安風險與雲端挑戰。
如果您的企業也正在尋找可靠的資安解決方案,歡迎隨時聯絡蓋亞資訊,讓我們成為您資安保護與雲端整合的最佳夥伴!
