【安全资讯】JPCERT/CC警告：MirrorFace LODEINFO和NOOPDOOR恶意软件瞄准行业

概要：

JPCERT协调中心（JPCERT/CC）发布了一份详细报告，揭示了臭名昭著的MirrorFace组织使用LODEINFO和NOOPDOOR恶意软件对日本组织进行的持续网络攻击。自2022年以来，MirrorFace一直是一个持久的威胁行为者，最初针对媒体、政治组织、智库和大学。然而，自2023年以来，他们的目标转向了制造商和研究机构。

主要内容：

MirrorFace的目标转变表明其战略意图是渗透拥有宝贵知识产权和敏感数据的组织。MirrorFace不断适应其攻击方法，最初依赖鱼叉式网络钓鱼邮件进入网络，现在则利用外部资产中的漏洞。NOOPDOOR恶意软件是这些攻击的核心工具，它能够进行隐蔽渗透和持久存在。NOOPDOOR通过两种方法将shellcode注入合法应用程序：一种是使用XML文件（类型1），另一种是使用DLL文件（类型2）。这种双重方法增加了检测和根除的难度。

NOOPDOOR的类型1方法利用混淆的C#代码在XML文件中，通过MSBuild编译和执行，解密AES（CBC模式）加载的数据并将代码注入合法应用程序。类型2方法则采用DLL侧加载，将NOOPLDR加载到合法应用程序中，类似于类型1的解密和注入过程。MirrorFace还采用多种规避技术以确保长期存在，包括控制流扁平化（CFF）混淆、在注册表中存储加密代码、隐藏注册服务、修改时间戳、操纵防火墙规则以及删除Windows事件日志。

一旦进入网络，MirrorFace会使用一系列Windows命令进行侦察，并尝试从Lsass内存转储、NTDS.dit文件和注册表配置单元中获取凭据。这些活动可以通过强大的端点检测和响应（EDR）解决方案检测到。攻击者使用WinRAR和SFTP进行数据外传，仔细审查文件内容后再进行外传。他们还利用GO Simple Tunnel（GOST）和基于TinyShell的恶意软件在Linux服务器上保持通信和外传渠道。JPCERT/CC敦促所有组织，特别是日本的组织，保持警惕，实施最新的安全补丁，并增强检测能力以应对这些复杂威胁。有关详细的妥协指标（IoCs）和进一步的技术见解，请参阅JPCERT/CC的完整报告。