Аналитики Координационного центра JPCERT (JPCERT/CC) опубликовали отчет о группе злоумышленников MirrorFace и использовании ими вредоносных программ LODEINFO и NOOPDOOR с 2002 года.
Изначально MirrorFace атаковала СМИ, политические организации и университеты, однако в 2023 году группа переключила свое внимание на производителей и исследовательские институты. Исторически MirrorFace использовала копьеметание для получения первоначального доступа к сетям жертв, но в последнее время расширила свои методы, используя уязвимости в сервисах виртуальных частных сетей (VPN), в частности Array AG и FortiGate.
Группа использует NOOPDOOR, шеллкод, для внедрения в легитимные приложения с помощью XML или DLL-файлов, связи с командно-контрольным (C2) сервером через порт 443, а также для разведки, бокового перемещения и утечки информации. NOOPDOOR также использует ряд тактик уклонения от защиты, включая манипуляции с временными метками, удаление журналов событий Windows, удаление файлов и т. д.
Indicators of Compromise
IPv4
- 108.160.130.45
- 168.100.8.103
- 207.148.103.42
- 207.148.90.45
- 207.148.97.235
- 45.66.217.106
- 45.76.222.130
- 45.77.12.212
- 45.77.183.161
- 64.176.214.51
- 89.233.109.69
- 95.85.91.15
IPv6
- 2001:19f0:7001:2ae2:5400:4ff:fe0a:5566
- 2400:8902::f03c:93ff:fe8a:5327
- 2a12:a300:3600::31b5:2e02
- 2a12:a300:3700::5d9f:b451
SHA256
- 0d59734bdb0e6f4fe6a44312a2d55145e98b00f75a148394b2e4b86436c32f4c
- 43349c97b59d8ba8e1147f911797220b1b7b87609fe4aaa7f1dbacc2c27b361d
- 4f932d6e21fdd0072aba61203c7319693e490adbd9e93a49b0fe870d4d0aed71
- 572f6b98cc133b2d0c8a4fd8ff9d14ae36cdaa119086a5d56079354e49d2a7ce
- 5e7cd0461817b390cf05a7c874e017e9f44eef41e053da99b479a4dfa3a04512
- 7a7e7e0d817042e54129697947dfb423b607692f4457163b5c62ffea69a8108d
- 93af6afb47f4c42bc0da3eedc6ecb9054134f4a47ef0add0d285404984011072
- 9590646b32fec3aafd6c648f69ca9857fb4be2adfabf3bcaf321c8cd25ba7b83
- b07c7dfb3617cd40edc1ab309a68489a3aa4aa1e8fd486d047c155c952dc509e
- bcd34d436cbac235b56ee5b7273baed62bf385ee13721c7fdcfc00af9ed63997