Siber güvenlik şirketi Eset, Çin bağlantılı MirrorFace APT (gelişmiş kalıcı tehdit) grubu tarafından bu yıl Japonya’nın Osaka kentinde düzenlenecek olan Expo 2025 ile ilgili olarak Orta Avrupa’daki bir diplomatik enstitüye karşı yürütülen siber casusluk faaliyetini tespit etti. Tespitlere göre, Japonya’daki kuruluşlara yönelik siber casusluk faaliyetleriyle tanınan MirrorFace ilk kez Avrupalı bir kuruluşa sızma niyeti gösteriyor. 2024’ün 2. ve 3. çeyreğinde ortaya çıkarılan ve Eset tarafından AkaiRyū Operasyonu (Japonca RedDragon) olarak adlandırılan kampanya, Eset Research’ün geçen yıl boyunca gözlemlediği yenilenmiş TTP’leri (taktik, teknik ve prosedür) sergiliyor.
MirrorFace operatörleri, enstitü ile bir Japon sivil toplum kuruluşu arasında daha önce gerçekleşen meşru bir etkileşime atıfta bulunan bir e-posta mesajı hazırlayarak spearphishing saldırısı düzenlediler. Bu saldırı sırasında tehdit aktörü, Japonya’nın Osaka kentinde düzenlenecek olan World Expo 2025’i bir yem olarak kullandı. Bu Avrupa diplomatik enstitüsüne yapılan saldırıdan önce MirrorFace, bilinmeyen bir şekilde gönderilen kötü niyetli, parola korumalı bir Word belgesi kullanarak Japon araştırma enstitüsündeki iki çalışanı hedef aldı. AkaiRyū Operasyonu’nun analizi sırasında Eset, MirrorFace’in TTP’lerini ve araçlarını önemli ölçüde yenilediğini keşfetti. MirrorFace, yıllar önce terk edildiğine inanılan ve APT10’a özel olduğu düşünülen bir arka kapı olan ANEL’i (UPPERCUT olarak da adlandırılır) kullanmaya başladı. Ancak son faaliyetler, ANEL’in geliştirilmesinin yeniden başladığını güçlü bir şekilde gösteriyor. ANEL dosya manipülasyonu, yük yürütme ve ekran görüntüsü almaya yönelik temel komutları desteklemektedir.
AkaiRyū kampanyasını araştıran Eset araştırmacısı Dominik Breitenbacher yaptığı açıklamada şunları söyledi:
“MirrorFace bir Orta Avrupa diplomatik enstitüsünü hedef aldı. Bildiğimiz kadarıyla bu, MirrorFace’in Avrupa’daki bir kuruluşu hedef aldığı ilk saldırı. ANEL’in kullanımı MirrorFace ve APT10 arasındaki potansiyel bağlantıya ilişkin devam eden tartışmalarda da yeni kanıtlar sunuyor. MirrorFace’in ANEL kullanmaya başlaması, benzer hedefleme ve kötü amaçlı yazılım kodu benzerlikleri gibi daha önce tespit edilen diğer bilgilerle birlikte ilişkilendirmemizde bir değişiklik yapmamıza neden oldu. Artık MirrorFace’in APT10 şemsiyesi altında bir alt grup olduğuna inanıyoruz.”
Buna ek olarak MirrorFace, AsyncRAT’in büyük ölçüde özelleştirilmiş bir varyantını kullanmış ve bu kötü amaçlı yazılımı, RAT’i Windows Sandbox içinde çalıştıran ve yeni gözlemlenen karmaşık bir yürütme zincirine yerleştirmiş. Bu yöntem, kötü niyetli faaliyetleri, güvenlik kontrollerinin tehlikeyi tespit etme yeteneklerinden etkili bir şekilde gizler. Kötü amaçlı yazılıma paralel olarak MirrorFace, uzak tüneller özelliğini kötüye kullanmak için Visual Studio Kodunu (VS Code) da dağıtmaya başlar. Uzak tüneller MirrorFace’in ele geçirilen makineye gizlice erişim kurmasını, keyfi kod çalıştırmasını ve diğer araçları sunmasını sağlar. Son olarak MirrorFace, mevcut amiral gemisi arka kapısı HiddenFace’i kullanmaya devam ederek tehlikeye atılmış makinelerdeki kalıcılığı daha da güçlendirir.
Eset, Haziran ve Eylül 2024 tarihleri arasında MirrorFace’in çok sayıda hedefli kimlik avı kampanyası yürüttüğünü gözlemledi. Eset verilerine göre, saldırganlar öncelikle hedefleri kötü amaçlı ekleri veya bağlantıları açmaları için kandırarak ilk erişimi elde etti, ardından kötü amaçlı yazılımlarını gizlice yüklemek için yasal uygulamalardan ve araçlardan yararlandı. Özellikle AkaiRyū Operasyonu’nda MirrorFace, ANEL’i çalıştırmak için hem McAfee tarafından geliştirilen uygulamaları hem de JustSystems tarafından geliştirilen bir uygulamayı kullandı. ESET, MirrorFace’in verileri nasıl dışa aktardığını ve verilerin dışarı sızıp sızmadığını ya da nasıl sızdığını belirleyemedi. ESET Research, etkilenen Orta Avrupa diplomatik enstitüsü ile iş birliği yaptı ve adli bir soruşturma gerçekleştirildi. ESET Research, bu analizin sonuçlarını Ocak 2025’teki Ortak Güvenlik Analistleri Konferansı’nda (JSAC) sundu.
Kaynak : 