Operation AkaiRyū 攻撃の検出：中国支持の MirrorFace APT が ANEL バックドアを使用して中欧の外交研究所を標的に

ESET APT活動報告2024年第2四半期-第3四半期によると、中国に関連する脅威グループが世界の APT キャンペーンを支配しており、 MustangPanda が2024年の観測期間中の活動の12%を担っていました。別の悪名高い中国支援のAPTグループであるMirrorFace（別名Earth Kasha）は、ANELバックドアを使用してEUの外交機関を標的にするために地理的な範囲を拡大していることが確認されています。2024年の夏の終わりに発見された攻撃的な敵対キャンペーンは、RedDragonを意味するAkaiRyū作戦として注目されました。

MirrorFace活動に関連するAkaiRyū作戦攻撃の検知

近年の地政学的緊張の高まりにより、APTによる脅威が急増し、サイバーセキュリティ専門家にとっての大きな懸念事項となっています。国家支援の脅威アクターは、ゼロデイ脆弱性、スピアフィッシングキャンペーン、最先端のマルウェアを活用して、重要なインフラ、金融システム、および政府ネットワークに侵入しています。これにより、サイバーセキュリティにおける防御策の強化と国際的な協力の緊急性が浮き彫りになり、MirrorFace（別名Earth Kasha）による最新のAkaiRyū作戦は、その不安な傾向を示しています。

SOC Prime Platform は集団サイバー防御のために、MirrorFace APT攻撃、特に最新の欧州外交官に対するキャンペーンを積極的に阻止するために、セキュリティチームが使用できる一連の検出アルゴリズムをキュレートしています。提供される検出アルゴリズムは関連する脅威インテルで強化され、 MITRE ATT&CK®フレームワークにマッピングされており、選択されたSIEM、EDR、またはData Lake言語形式に即座に変換する準備が整っています。

検出の探索

さらに、セキュリティ専門家はOperation AkaiRyūに関する最新のESETリサーチからIOCsを探すことができます。 Uncoder AIを使用して、防御者はこれらのIOCsを簡単に解析し、選択したSIEMまたはEDRプラットフォームに合わせたカスタムクエリに変換できます。以前は企業クライアントに限定されていたUncoder AIは、現在は個人研究者に利用可能であり、その強力な機能にフルアクセスできます。詳しくは こちら.

APT攻撃で使用されるTTPに関するより多くの検出コンテンツを求めるサイバー防御者は、「APT」タグを使用してThreat Detection Marketplaceを探索することができます。これは、国家支援グループに関連した悪意ある活動を検出するための包括的なルールとクエリのコレクションにアクセスを提供します。

MirrorFace活動分析：ANEZバックドアを使用した中央ヨーロッパの攻撃

2024年8月、中国に結びつく悪名高いAPTグループMirrorFaceは、日本からEUの組織に焦点を移し、中央ヨーロッパの外交機関をターゲットにした最新キャンペーン「Operation AkaiRyū」を展開しました。 ESET研究者 はこの作戦を発見し、2024年を通してグループの進化するTTPを観察しました。これには、新しい攻撃ツールとしてカスタマイズされた AsyncRAT、ANEZバックドアの再興、そして洗練された実行チェーンが含まれています。

MirrorFaceはEarth Kashaとも呼ばれ、日本とその関連組織を主にターゲットにした多様なサイバースパイ活動を展開する中国に関連する脅威アクターです。 APT10のサブグループとみなされる可能性が高く、MirrorFaceは少なくとも2019年以降活動しており、メディア、防衛、外交、金融、学術などの分野をターゲットにしています。特に2022年には、日本の政治団体に対するスピアフィッシングキャンペーンを開始しました。この最新のキャンペーンで、グループは初めて欧州の団体への侵入を試みるようです。 

2024年には、カスタマイズされたAsyncRATに加えて、同グループはリモートトンネルを用いたVisual Studio Codeを利用して潜行アクセスとコード実行を行い、Tropic Trooperや Mustang Pandaによる攻撃でも見られた戦術です。スパイ活動およびデータ漏洩を専門とするMirrorFaceは、グループの攻撃ツールキットの中で、2024年にはANEZを含む新たなツールを採用しました。 

2024年6月から9月にかけて、MirrorFaceは複数のスピアフィッシングキャンペーンを展開し、被害者に悪意のある添付ファイルやリンクを開かせる手口を用いました。侵入後、攻撃者は正規のアプリケーションを使用してマルウェアを極秘にインストールしました。MirrorFaceは信頼できる組織になりすまして、標的を動機付け、市販されているドキュメントを開かせたり、悪意あるリンクをクリックさせました。Operation AkaiRyūでは、ハッカーはMcAfeeおよびJustSystemsのアプリケーションを悪用してANEZバックドアを展開しました。 

2024年6月20日、MirrorFaceは二人の日本の研究機関の従業員を悪意のあるパスワード保護されたWordドキュメントを使用して標的にし、VBAコードを実行してマウスオーバーでANEZバックドア (v5.5.4) を署名されたMcAfee実行ファイル経由でロードしました。その後、2024年8月26日に、一通目の無害なメールを送り、Osakaで開催予定のExpo 2025に言及した後、悪意のあるOneDriveリンクを含むZIPアーカイブを送っています。このアーカイブには、LNKファイルが偽装されており、開かれると、追加の悪意のあるファイルをドロップするPowerShellコマンドのチェーンを起動しました。この攻撃はカスタムマルウェアと修正されたリモートアクストロジャンを組み合わせて行われました。ANEZに加えて、MirrorFaceは新しいツールとして高度に改造されたAsyncRAT、Windows Sandbox、VS Codeのリモートトンネルを採用しています。

中国支援のグループに関連するサイバースパイ活動の増加は、サイバー防御者の間に意識を高めています。MirrorFaceは、ツールやファイルの削除、Windowsイベントログのクリア、Windows Sandboxでのマルウェアの実行など、自らの行動の証拠を消去し、操作の安全性を強化しています。これは、世界的な組織が警戒を強化し、進化する脅威に対抗するための積極的な対策をとる必要性を示しています。 SOC Prime Platform 集団サイバー防御に依存して急速に拡大する攻撃面を縮小し、進化するAPTキャンペーンやあらゆる規模および高度なサイバー脅威に遅れずについていく。