Главная страница » Индикаторы компрометации
0
16 минут
Индикаторы компрометации

Исследователи обнаружили активность MirrorFace, которая вышла за рамки привычного фокуса на Японии

security

Исследователи компании ESET обнаружили кибершпионскую деятельность группы MirrorFace, связанной с Китаем, которая впервые нацелилась на дипломатический институт Центральной Европы в связи с выставкой Expo 2025 в Японии.

Описание

Названная операция "AkaiRyū" представляет собой обновленные тактики и инструменты, такие как бэкдор ANEL и адаптированный AsyncRAT, используемые для взлома Windows Sandbox. Исследование результатов произведено совместно с пострадавшим институтом, а презентация проведена на конференции Joint Security Analyst Conference (JSAC) в январе 2025 года.

MirrorFace, также известная как Earth Kasha, действует с 2019 года, нацелена на различные секторы, включая СМИ, оборонные компании, финансовые учреждения и дипломатические организации, использует уникальные бэкдоры LODEINFO и HiddenFace. В ходе операции 2024 года, MirrorFace добавила в свои тактики использование старого бэкдора APT10 - ANEL, что вызвало дебаты в сообществе о связи MirrorFace и APT10.

Анализ операции "AkaiRyū" показал, что MirrorFace активно обновляет свои методы и инструментарий, используя ANEL и AsyncRAT, а также внедряя код в Visual Studio Code. MirrorFace вернулась к использованию ANEL, ранее связанного с APT10, что указывает на возможную принадлежность MirrorFace к группе APT10. Это изменение атрибуции подтверждается также другими исследователями, включая Macnica, Kaspersky и Cybereason. MirrorFace продолжает активность в Японии, но также расширяется на другие регионы, вызывая настороженность в сфере кибербезопасности.

Индикаторы компрометации

Содержание
  1. IPv4
  2. Onion Domains
  3. SHA1

IPv4

  • 104.233.167.135
  • 152.42.202.137
  • 208.85.18.4
  • 45.32.116.146
  • 64.176.56.26

Onion Domains

  • u4mrhg3y6jyfw2dmm2wnocz3g3etp2xc5thzx77uelk7mrk7qtjmc6qd.onion
  • vu4fleh3yd4ehpfpciinnwbnh4b77rdeypubhqr2dgfibjtvxpdxozid.onion

SHA1

  • 018944fc47ee2329b23b74da31b19e57373ff539
  • 02d32978543b9dd1303e5b020f52d24d5eaba52e
  • 1afdce38af37b9452fb4ac35de9fcecd5629b891
  • 233029813051d20b61d057ec4a56337e9bec40d2
  • 2fb3b8099499fee03ea7064812645ac781afd502
  • 68b72da59467b1bb477d0c1c5107cee8d9078e7e
  • 694b1dd3187e876c5743a0e0b83334dbd18ac9eb
  • 8361f7dbf81093928da54e3cbc11a0fcc2eeb55a
  • 875dc27963f8679e7d8bf53a7e69966523bc36bc
  • 9b2b9a49f52b37927e6a9f4d6ddb180be8169c5f
  • ab65c08da16a45565dba930069b5fc5a56806a4c
  • d2c25af9ee6e60a341b0c93dd97566fb532bfbe8
  • e3da9467d0c89a9312ea199ecc83cddf3607d8b1
  • f5ba545d4a16836756989a3ab32f3f6c5d5ad8ff
Комментарии: 0
Похожие записи
0
11 минут
Индикаторы компрометации

PlushDaemon компрометирует цепочку поставок корейского VPN-сервиса

security
Исследователи ESET обнаружили активность новой китайской APT-группы PlushDaemon, занимающейся кибершпионажем. Группа скомпрометировала цепочку поставок VPN-сервиса в Южной Корее, заменив легитимный установщик
0
13 минут
Индикаторы компрометации

DeceptiveDevelopment нацелена на разработчиков-фрилансеров

security
Исследователи ESET выявили кампанию, в рамках которой киберпреступники предлагали вредоносное программное обеспечение вместе с заданиями для собеседования, под видом рекрутеров компаний.
0
20 минут
Индикаторы компрометации

Исследователи обнаружили глобальную шпионскую операцию APT-группы FishMonger

security
5 марта 2025 года было объявлено об обвинительном заключении со стороны Минюста США в отношении сотрудников компании I-SOON из Китая за их участие в глобальных операциях шпионажа.
0
2 дня
Индикаторы компрометации

Иранские злоумышленники выдают себя за модельное агентство в рамках предполагаемой шпионской операции

security
Unit 42 обнаружило предполагаемую тайную инфраструктуру, представляющую себя как немецкое модельное агентство, на которой размещен мошеннический сайт для обмана и сбора данных посетителей.