Kỹ Thuật Chiếm Đoạt Bí Mật của MirrorFace: Sự Tiến Hóa của Trojan RAT

19/03/2025
2 mins read
Nội dung
Hoạt động của MirrorFace
Kỹ thuật Tăng cường Tính bí mật
Các Công cụ và Chiến thuật Bổ sung
Chiến dịch AkaiRyū
Kỹ thuật Tránh Phát hiện

Hoạt động của MirrorFace

MirrorFace đã được quan sát thực hiện các chiến thuật tinh vi để nâng cao tính bí mật của các cuộc tấn công của mình.
Nhóm này đã sửa đổi việc thực thi AsyncRAT, một Trojan truy cập từ xa (RAT) có sẵn công khai, để chạy nó bên trong Windows Sandbox, từ đó tránh bị phát hiện bởi các công cụ bảo mật.

Kỹ thuật Tăng cường Tính bí mật

Biến thể AsyncRAT tùy chỉnh được nhúng trong một chuỗi thực thi phức tạp, tận dụng Windows Sandbox. Môi trường sandbox này cho phép RAT hoạt động mà không để lại dấu vết trong hệ thống chính, làm cho việc phát hiện bởi các công cụ bảo mật trở nên khó khăn hơn.

Biến thể AsyncRAT bao gồm các tính năng như gán mẫu, kết nối với các máy chủ điều khiển qua Tor, và một thuật toán tạo miền (DGA) để tạo ra các miền cụ thể cho máy. Những thay đổi này cho phép MirrorFace duy trì khả năng tồn tại và kiểm soát các hệ thống bị xâm phạm trong khi giảm thiểu nguy cơ bị phát hiện.

Các Công cụ và Chiến thuật Bổ sung

MirrorFace cũng đã hồi sinh việc sử dụng ANEL, một backdoor trước đây liên quan đến APT10. Đây là động thái cho thấy một mối liên hệ tiềm tàng giữa MirrorFace và APT10, với một số nhà nghiên cứu hiện xem xét MirrorFace như một tiểu nhóm dưới sự điều hành của APT10.

Nhóm này đã sử dụng tính năng hầm từ xa của Visual Studio Code để thiết lập quyền truy cập bí mật vào các máy bị xâm phạm, thực thi mã tùy ý và cung cấp các công cụ bổ sung.

Chiến dịch AkaiRyū

Chiến dịch AkaiRyū, bắt đầu vào giữa năm 2024, đã nhằm vào một viện ngoại giao ở Trung Âu, đánh dấu lần đầu tiên MirrorFace tấn công một thực thể châu Âu.
Chiến dịch này đã sử dụng email lừa đảo nhắm đến Expo 2025 ở Osaka, Nhật Bản, để lôi kéo các mục tiêu vào việc mở các tệp đính kèm độc hại. Các hoạt động sau khi xâm nhập bao gồm triển khai nhiều công cụ, chẳng hạn như PuTTY, VS Code và HiddenFace, để duy trì tính tồn tại và thu thập thông tin nhạy cảm.

Kỹ thuật Tránh Phát hiện

Việc sử dụng Windows Sandbox và các kỹ thuật tránh phát hiện khác nhấn mạnh sự tiến hóa của các mối đe dọa mạng và nhu cầu về các biện pháp bảo mật được cải tiến để chống lại các cuộc tấn công tinh vi như vậy.

Tags