摘要：日本国家警察厅 (NPA) 和国家网络安全事件战略中心 (NISC) 发布一份安全公告（https://www.nisc.go.jp/pdf/news/press/20250108_MirrorFace.pdf），披露了针对日本组织的高级持续性威胁 (APT)

日本国家警察厅 (NPA) 和国家网络安全事件战略中心 (NISC) 发布一份安全公告（https://www.nisc.go.jp/pdf/news/press/20250108_MirrorFace.pdf），披露了针对日本组织的高级持续性威胁 (APT) 攻击活动。

该活动归因于一个名为“MirrorFace”的威胁组织，这是 APT10 下运作的一个分支，它利用 Windows Sandbox 和 Visual Studio Code 执行恶意活动，同时逃避在主机系统上运行的安全工具的检测。

攻击者使用了开源 Lilith RAT 的定制版本，称为“LilimRAT”，专门设计用于在 Windows Sandbox中运行。

这种方法使攻击者能够在受感染系统上保持持久性，同时最大限度地减少其活动的痕迹，因为 Windows Sandbox 提供了与主机系统隔离的虚拟环境。

ITOCHU Cyber & Intelligence Inc. 的研究人员指出，该恶意软件包含特定代码，通过检查 WDAGUtilityAccount 用户文件夹（Windows Sandbox 环境中的默认用户）是否存在来验证它是否在 Windows Sandbox 中运行。

如果未检测到此文件夹，恶意软件将立即终止。攻击方法包括在目标机器上启用 Windows Sandbox、创建自定义 WSB 配置文件以及在隔离环境中执行恶意软件。

由于 Windows 系统中的 Windows 沙盒默认处于禁用状态，攻击者必须先启用此功能并重新启动受感染的系统，然后才能继续进行下一阶段的攻击。

攻击者部署了一个复杂的多阶段攻击流程。首先，他们在受感染的主机上放置了三个关键文件：一个批处理文件、一个归档实用程序和一个包含恶意软件的归档。

然后，他们创建了一个 Windows 沙盒配置 (WSB) 文件，其中包含特定参数，可启用网络连接、主机和沙盒环境之间的共享文件夹，并在登录时执行命令。

WSB 文件配置包括启用网络、在主机和沙箱之间映射文件夹以及自动执行批处理文件的设置。配置允许恶意软件在沙箱内运行，同时保持对主机系统上的文件的访问。

使用 Windows Sandbox 的攻击流程

一旦启动攻击流，批处理文件就会提取存档并安排任务来执行恶意软件。然后，该恶意软件通过 Tor 网络与命令和控制服务器建立通信以掩盖其活动。

这次攻击之所以特别隐蔽，是因为Windows Defender在 Windows Sandbox 中默认处于禁用状态，为攻击者提供了一个不安全的操作环境。

此外，当在 SYSTEM 权限下通过任务计划程序启动 Windows Sandbox 时，它会在后台运行而不显示窗口，这使得检测更加困难。

安全专家建议，除非特别需要，否则请保持 Windows 沙盒处于禁用状态，监控相关进程，限制管理权限，并实施 AppLocker 策略，以防止在企业环境中未经授权执行 Windows 沙盒。

技术报告：

新闻链接：

来源：会杀毒的单反狗