详细内容或原文请订阅后点击阅览
日本警方声称中国进行了为期五年的网络攻击活动
“MirrorFace” 组织找到了在 Windows 沙盒中运行恶意软件的方法,这令人担忧。日本国家警察厅和网络安全事件准备和战略中心通过发布多年来一系列归因于中国支持的消息来源的攻击的详细信息,证实了第三方对当地组织的攻击报告。
来源:The Register _恶意软件日本国家警察厅和网络安全事件准备和战略中心通过发布一系列多年来归因于中国支持的消息来源的攻击细节,证实了第三方对当地组织的攻击报告。
这些机构已将攻击者命名为“MirrorFace”,又名“Earth Kasha”,并概述了一项他们声称始于 2019 年的活动,至少发生了三波攻击,一直持续到 2024 年。 这些机构的报告遵循了去年信息安全供应商趋势科技和博通提出的类似指控。 据称攻击者也与 APT 10 团伙有关。
概述 趋势科技 博通第一波攻击从 2019 年 12 月持续到 2023 年 7 月,向智库、政府机构、政客和媒体组织的目标发送了网络钓鱼电子邮件。这些消息有时在附件中包含恶意软件,而其他消息则发起对话,其中发件人提出根据当前主题发送信息,但实际上发送了名为“LODEINFO”、“LilimRAT”和“NOOPDOOR”的恶意软件。所有这些都是已知的恶意软件。
第二次活动从 2023 年 2 月持续到 2024 年中期,攻击者利用 TLS 1.0 中已知的弱点,使用他们以某种方式获得的客户端证书进行身份验证,并使用 SQL 注入攻击。攻击者显然还在 VPN 上安装了 Neo-reGeorg 隧道工具和开源 WebShells。
袭击发生后,日本当局观察到 Active Directory 服务器被滥用以及对 Microsoft 365 的未经授权访问。国家警察文档的机器翻译表明“未经授权访问虚拟化服务器和获取虚拟机映像”是另一个结果。部署 Cobalt Strike BEACON、LODEINFO 和 NOOPDOOR 恶意软件也是如此。
日本的半导体、制造、信息和通信、学术和航空航天部门是第二波攻击的目标。
日语文档 警告