L’Agence nationale de police (NPA) et le Centre de cybersécurité du Cabinet au Japon ont lié une campagne de cyberespionnage ciblant le pays au groupe de piratage « MirrorFace » soutenu par l’État chinois.
La campagne est en cours depuis 2019 et se poursuit toujours, tandis que les enquêteurs japonais ont observé des phases distinctes avec différenciation des cibles et des méthodes d’attaque.
Dans tous les cas, l’objectif principal est de voler des informations sur une technologie japonaise précieuse et avancée et de recueillir des renseignements sur la sécurité nationale.
MirrorFace, également connu sous le nom de « Earth Kasha », a déjà été observé par ESET menant des attaques contre des politiciens japonais avant les élections, utilisant des courriels de phishing pour déployer un voleur d’identifiants surnommé « MirrorStealer » et également la porte dérobée « LODEINFO ».
Cibler le gouvernement et la technologie
Selon l’analyse de l’activité MirrorFace par NPA, les pirates chinois exploitent des failles dans les équipements réseau, notamment CVE-2023-28461 dans les réseaux de baies, CVE-2023-27997 dans les appliances Fortinet et CVE-2023-3519 dans Citrix ADC/Gateway.
Après avoir violé les réseaux, les acteurs de la menace infectent les ordinateurs ciblés avec LODEINFO, ANEL, NOOPDOOR et d’autres familles de logiciels malveillants capables d’exfiltrer des données et diverses portes dérobées pour un accès persistant à long terme.
La NPA a identifié trois campagnes distinctes menées par les pirates de MirrorFace:
- Campagne A (2019-2023): Groupes de réflexion ciblés, entités gouvernementales, politiciens et médias avec des courriels chargés de logiciels malveillants pour voler des informations.
- Campagne B (2023): Exploitation des vulnérabilités logicielles dans les appareils connectés à Internet, ciblant les secteurs japonais des semi-conducteurs, de la fabrication, des TIC, du monde universitaire et de l’aérospatiale.
- Campagne C (2024-présent): Utilisation de liens de messagerie malveillants pour infecter les universités, les groupes de réflexion, les politiciens et les médias avec des logiciels malveillants.
Évasion via VSCode et bac à sable Windows
Le NPA met en évidence deux méthodes d’évasion que MirrorFace utilise pour persister dans les réseaux pendant de longues périodes sans déclencher d’alarme.
Le premier utilise des tunnels de code Visual Studio, qui sont configurés par le logiciel malveillant ANEL sur le système compromis. Ces tunnels sont utilisés pour recevoir des commandes à exécuter sur les systèmes infectés, qui sont généralement des commandes PowerShell.
Apparemment, MirrorFace utilise des tunnels VSCode depuis au moins juin 2024.
Il s’agit d’une tactique documentée précédemment attribuée à d’autres pirates informatiques parrainés par l’État chinois comme STORM-0866 et Sandman APT.
La deuxième méthode d’évasion, employée depuis juin 2023, implique l’utilisation de la fonctionnalité Sandbox Windows pour exécuter LOADERINFO dans un environnement isolé, en contournant la détection antivirus.
Windows Sandbox est un environnement de bureau virtualisé qui peut exécuter en toute sécurité des commandes et exécuter des programmes isolés du système d’exploitation hôte.
Cependant, le système d’exploitation hôte, y compris Microsoft Defender, ne surveille pas cet environnement. Cela permet aux auteurs de menaces d’exécuter des logiciels malveillants qui communiquent avec des serveurs de commande et de contrôle distants (C2) tout en conservant un accès local au système de fichiers de l’hôte via des dossiers partagés.
Sur la base de ce qui précède, le NPA recommande aux administrateurs système de surveiller les journaux PowerShell suspects, les communications non autorisées avec les domaines VSCode et les activités inhabituelles du bac à sable.
Bien qu’il ne soit pas possible de consigner les commandes exécutées dans le bac à sable Windows, le NPA indique que vous pouvez configurer des stratégies Windows sur l’hôte pour auditer la création du processus afin de détecter le lancement du bac à sable Windows et le fichier de configuration utilisé.
Cela permettra aux organisations qui n’utilisent généralement pas Windows Sandbox de détecter son utilisation et d’enquêter plus avant.