Главная страница » Индикаторы компрометации
0
5 дней
Индикаторы компрометации

Исследователи обнаружили активность MirrorFace, которая вышла за рамки привычного фокуса на Японии

security

Исследователи компании ESET обнаружили кибершпионскую деятельность группы MirrorFace, связанной с Китаем, которая впервые нацелилась на дипломатический институт Центральной Европы в связи с выставкой Expo 2025 в Японии.

Описание

Названная операция "AkaiRyū" представляет собой обновленные тактики и инструменты, такие как бэкдор ANEL и адаптированный AsyncRAT, используемые для взлома Windows Sandbox. Исследование результатов произведено совместно с пострадавшим институтом, а презентация проведена на конференции Joint Security Analyst Conference (JSAC) в январе 2025 года.

MirrorFace, также известная как Earth Kasha, действует с 2019 года, нацелена на различные секторы, включая СМИ, оборонные компании, финансовые учреждения и дипломатические организации, использует уникальные бэкдоры LODEINFO и HiddenFace. В ходе операции 2024 года, MirrorFace добавила в свои тактики использование старого бэкдора APT10 - ANEL, что вызвало дебаты в сообществе о связи MirrorFace и APT10.

Анализ операции "AkaiRyū" показал, что MirrorFace активно обновляет свои методы и инструментарий, используя ANEL и AsyncRAT, а также внедряя код в Visual Studio Code. MirrorFace вернулась к использованию ANEL, ранее связанного с APT10, что указывает на возможную принадлежность MirrorFace к группе APT10. Это изменение атрибуции подтверждается также другими исследователями, включая Macnica, Kaspersky и Cybereason. MirrorFace продолжает активность в Японии, но также расширяется на другие регионы, вызывая настороженность в сфере кибербезопасности.

Индикаторы компрометации

Содержание
  1. IPv4
  2. Onion Domains
  3. SHA1

IPv4

  • 104.233.167.135
  • 152.42.202.137
  • 208.85.18.4
  • 45.32.116.146
  • 64.176.56.26

Onion Domains

  • u4mrhg3y6jyfw2dmm2wnocz3g3etp2xc5thzx77uelk7mrk7qtjmc6qd.onion
  • vu4fleh3yd4ehpfpciinnwbnh4b77rdeypubhqr2dgfibjtvxpdxozid.onion

SHA1

  • 018944fc47ee2329b23b74da31b19e57373ff539
  • 02d32978543b9dd1303e5b020f52d24d5eaba52e
  • 1afdce38af37b9452fb4ac35de9fcecd5629b891
  • 233029813051d20b61d057ec4a56337e9bec40d2
  • 2fb3b8099499fee03ea7064812645ac781afd502
  • 68b72da59467b1bb477d0c1c5107cee8d9078e7e
  • 694b1dd3187e876c5743a0e0b83334dbd18ac9eb
  • 8361f7dbf81093928da54e3cbc11a0fcc2eeb55a
  • 875dc27963f8679e7d8bf53a7e69966523bc36bc
  • 9b2b9a49f52b37927e6a9f4d6ddb180be8169c5f
  • ab65c08da16a45565dba930069b5fc5a56806a4c
  • d2c25af9ee6e60a341b0c93dd97566fb532bfbe8
  • e3da9467d0c89a9312ea199ecc83cddf3607d8b1
  • f5ba545d4a16836756989a3ab32f3f6c5d5ad8ff
Комментарии: 0
Похожие записи
0
1 день
Индикаторы компрометации

TA406 начал атаковать правительственные организации

security
Группа TA406 начала атаки на правительственные организации в Украине в феврале 2025 года, используя фишинговые кампании для сбора учетных данных и распространения вредоносного ПО.
0
1 день
Индикаторы компрометации

Earth Ammit нарушает цепочки поставок дронов с помощью скоординированных многоволновых атак на Тайване

security
Компания Trend Micro Research обнаружила развивающуюся угрозу игрока Earth Ammit, связанную с китайскоязычными APT-группами, которая запустила кампании TIDRONE и VENOM в 2023-2024 годах.
0
1 день
Индикаторы компрометации

Государственные злоумышленники используют SAP NetWeaver (CVE-2025-31324) для атак на критически важные инфраструктуры

security
Аналитики компании EclecticIQ заявляют о кампаниях эксплуатации с использованием угрозы APT, принадлежащих китайским государствам в апреле 2025 года.
0
2 дня
Индикаторы компрометации

Фишинг на стороне сервера: кампании по краже учетных данных скрываются от посторонних глаз

phishing
Киберпреступники активно совершенствуют методы фишинга, переходя на серверные проверки украденных логинов и паролей, чтобы усложнить обнаружение атак. В новой кампании злоумышленники копируют корпоративные