中國駭客MirrorFace對日本從事5年逾200起攻擊行動，企圖竊取國家安全及先進技術機密

代號為Earth Kasha、MirrorFace的中國駭客組織惡名昭彰，1月8日日本警方提出警告，自2019年起，這個團體鎖定日本企業組織、個人從事網路攻擊，根據他們的調查，這些駭客的目的就是竊取日本的國家安全及先進技術的資料，對此，他們針對這些駭客的攻擊手法，提出相關的防禦措施。

雖然日本警方發布的警告內容，主要是提供當地企業與個人相關的因應措施，但根據當地媒體報導指出，警方透露這些駭客從2019至2024年間，已從事210次網路攻擊。知情人士透露，其中一個目標就是2023年傳出遭到攻擊的日本航太探查機構（Japan Aerospace Exploration Agency，JAXA）。

日本警方指出，這些駭客的攻擊行動大致可分成三波，第一波從2019至2023年，駭客針對日本智庫、政府機關、政治人物、新聞媒體相關人士而來，透過電子郵件散布惡意軟體LodeInfo，企圖竊取機敏資料。

第二波攻勢則是針對連上網際網路的網路設備而來，這些駭客自2023年開始，針對日本半導體、製造業、電信業者、學術機構、航太產業等領域，利用軟體弱點入侵企業組織的內部網路環境。

這些遭到利用的漏洞，包含存在於安瑞科技（Array Networks）Array AG系列SSL VPN設備（及虛擬化版本vxAG）的CVE-2023-28461，Fortinet防火牆作業系統FortiOS、上網安全閘道FortiProxy的SSL VPN漏洞CVE-2023-27997，以及Citrix NetScaler設備漏洞CVE-2023-3519（CVSS風險皆達到9.8分）。

第三波攻擊發生於去年6月，為針對日本學術機構、智庫、政治人物、新聞媒體相關人士竊取機密資料的攻擊行動，其攻擊途徑同樣是透過電子郵件，向目標人士散布惡意軟體Anel。

針對前兩波目標式電子郵件攻擊，日本警方表示，駭客分別採用不同手法，散布LodeInfo的攻擊行動裡，駭客引誘受害者開啟附件檔案觸發攻擊鏈；而去年6月出現的另一波攻擊行動裡，則是透過郵件內文的連結觸發。

此外，攻擊者在過程裡還濫用Windows的沙箱機制，而在第三波攻擊裡，駭客還利用了微軟免費的IDE工具Visual Studio Code（VS Code）。