MirrorFace

OrigemChina

Técnicas (MITRE ATT&CK)43

FonteMITRE ATT&CK

Também conhecido como:Earth Kasha

Análise Vexday

MirrorFace é um ator de ciberespionagem alinhado à República Popular da China, identificado pelo MITRE ATT&CK como G1054 e também referenciado como Earth Kasha. Acredita-se que seja um subgrupo sob o guarda-chuva do menuPass, com base em sobreposições de alvos, ferramentas e infraestrutura. Ativo desde pelo menos 2019, o grupo inicialmente concentrou suas operações exclusivamente em organizações japonesas nos setores de mídia, defesa, diplomacia, finanças, manufatura e meio acadêmico, expandindo posteriormente suas operações para alvos na Europa Central, com uso dos malwares LODEINFO, HiddenFace e UPPERCUT. Ao grupo são atribuídas 2 CVEs conhecidas por exploração e 43 técnicas documentadas no framework MITRE ATT&CK.

Técnicas (MITRE ATT&CK) 43

Como o grupo opera, mapeado pela matriz MITRE ATT&CK e organizado pelas fases de um ataque.

Reconhecimento

Gather Victim Org Information

Preparação de recursos

Malware Tool

Acesso inicial

Exploit Public-Facing Application Spearphishing Attachment Spearphishing Link

Execução

Windows Management Instrumentation Windows Command Shell Visual Basic Malicious File

Acesso a credenciais

LSASS Memory Security Account Manager NTDS

Descoberta

System Service Discovery System Network Configuration Discovery Remote System Discovery System Owner/User Discovery Process Discovery System Information Discovery File and Directory Discovery Domain Account Domain Trust Discovery System Language Discovery

Movimento lateral

Remote Desktop Protocol SMB/Windows Admin Shares

Coleta

Data from Local System Remote Data Staging Local Email Collection Archive via Utility

Comando e controle

File Transfer Protocols Proxy

Exfiltração

Exfiltration Over Asymmetric Encrypted Non-C2 Protocol

defense-impairment

Code Signing Password Filter DLL Disable or Modify Tools Clear Windows Event Logs Windows Host Firewall

stealth

Encrypted/Encoded File Masquerade File Type File Deletion Template Injection DLL Impersonation

Vulnerabilidades exploradas 2

CVEs que este grupo é conhecido por explorar, segundo o MITRE ATT&CK. Ordenadas por gravidade real.

CVE-2014-7169CRITICALEPSS 100%KEV CVE-2016-6662EPSS 68%

O grupo MirrorFace usa técnicas e explora falhas reais. O Pentest Autônomo com IA da TrueHacking simula esses ataques na sua infraestrutura e traz mais segurança para sua aplicação.

Conhecer o Pentest Autônomo com IA →