日本电脑紧急应变团队暨协调中心(JPCERT/CC)从2年前开始追踪名为MirrorFace的攻击行动,攻击者最初的目标是当地媒体、政治组织、智库、大专院校,但从2023年开始,这些骇客转移焦点,锁定制造业和研究机构,现在研究人员公布新的发现。
JPCERT/CC指出,这些骇客原本的初始攻击管道,主要是透过钓鱼邮件,但现在针对可透过网际网路存取的Array AG远端SSL VPN存取平台、FortiGate防火墙而来,此外,研究人员也不排除对方锁定档案共用系统Proself下手的情况,
但无论对方从那一款设备入侵受害组织,最终的目的都是要部署NoopDoor。研究人员总共看到两种型态的恶意程式,主要差别在于,用来载入执行的档案种类不同:其中一种是透过XML档案执行,另一种则是使用DLL档案侧载NoopDoor。 后者是很常见的部署手法,但近期用XML档案来载入恶意程式的例子并不多。研究人员提及,攻击者先设置工作排程执行公用程式MSBuild,并读取XML档案里的C#程式码进行编译,产生NoopDoor的载入工具,然后借由此恶意程式载入工具解密特定资料,于合法处理程序载入NoopDoor。