Útočná kampaň se zaměřila na finanční instituce a výzkumné ústavy.

Odbor kybernetické bezpečnosti uvedl, že během procesu monitorování kybernetické bezpečnosti Národní monitorovací centrum kybernetické bezpečnosti (NCSC) detekovalo a zaznamenalo informace týkající se kybernetické útočné kampaně provedené skupinou APT MiroFace.

Útočná skupina APT MirrorFace údajně cílila na finanční instituce, výzkumné ústavy a výrobce. Útočná skupina zneužila bezpečnostní zranitelnosti v softwarových produktech společností Array AG a FortiGate k šíření malwaru NOOPDOOR.

Podle odborníků je malware NOOPDOOR vložen do legitimních aplikací v systému ve dvou variantách: soubory „.XML“ a „.DLL“. Obě varianty umožňují útočníkům navazovat spojení přes porty 443 a 47000 za účelem stahování souborů a provádění příkazů.

Po vydání malwaru útočníci prováděli nelegální aktivity, jako například: přístup k úložišti ověřovacích informací systému, distribuci malwaru do dalších zařízení v místní síti a monitorování a extrahování uživatelských informací.

Útočníci navíc podnikli kroky, aby se vyhnuli odhalení, jako například: úpravu časových razítek, přidání pravidel do systémového firewallu, aby se malware mohl připojit ke konkrétním portům, skrytí aktivovaných služeb atd.

Odbor kybernetické bezpečnosti proto doporučuje organizacím a firmám v celé zemi, aby provedly kontroly a revize svých stávajících informačních systémů, které by mohly být ovlivněny útočnou kampaní zahájenou APT skupinou MirrorFace. Zároveň by měly proaktivně monitorovat informace související s touto útočnou kampaní, aby předcházely riziku útoku a vyhýbaly se mu.

Zároveň se organizacím doporučuje posílit monitorování a připravit plány reakce v případě zjištění známek zneužití nebo kybernetických útoků.

Kromě toho musí jednotky monitorovat informace, aby mohly včas odhalit potenciální kybernetické útoky. Pro pomoc se jednotky mohou obrátit na Národní monitorovací centrum kybernetické bezpečnosti na telefonním čísle 02432091616 nebo e-mailem na adrese ncsc@ais.gov.vn.