ESET araştırmacıları operasyonu ortaya çıkardı

ESET araştırmacıları operasyonu ortaya çıkardı

Expo 2025 yemiyle siber saldırı

 Siber güvenlik şirketi ESET, Çin kontaklı MirrorFace APT (gelişmiş kalıcı tehdit) kümesi tarafından bu yıl Japonya’nın Osaka kentinde düzenlenecek olan Expo 2025 ile ilgili olarak Orta Avrupa’daki bir diplomatik enstitüye karşı yürütülen siber casusluk faaliyetini tespit etti. Tespitlere nazaran, Japonya’daki kuruluşlara yönelik siber casusluk faaliyetleriyle tanınan MirrorFace birinci kere Avrupalı bir kuruluşa sızma niyeti gösteriyor. 2024’ün 2. ve 3. çeyreğinde ortaya çıkarılan ve ESET tarafından AkaiRyū Operasyonu (Japonca RedDragon) olarak isimlendirilen kampanya, ESET Research’ün geçen yıl boyunca gözlemlediği yenilenmiş TTP’leri (taktik, teknik ve prosedür)  sergiliyor.

MirrorFace operatörleri, enstitü ile bir Japon sivil toplum kuruluşu ortasında daha evvel gerçekleşen legal bir etkileşime atıfta bulunan bir e-posta bildirisi hazırlayarak spearphishing saldırısı düzenlediler. Bu hücum sırasında tehdit aktörü, Japonya’nın Osaka kentinde düzenlenecek olan World Expo 2025’i bir yem olarak kullandı. Bu Avrupa diplomatik enstitüsüne yapılan ataktan evvel MirrorFace, bilinmeyen bir biçimde gönderilen makûs niyetli, parola muhafazalı bir Word evrakı kullanarak Japon araştırma enstitüsündeki iki çalışanı gaye aldı. AkaiRyū Operasyonu’nun tahlili sırasında ESET, MirrorFace’in TTP’lerini ve araçlarını değerli ölçüde yenilediğini keşfetti. MirrorFace, yıllar evvel terk edildiğine inanılan ve APT10’a özel olduğu düşünülen bir art kapı olan ANEL’i (UPPERCUT olarak da adlandırılır) kullanmaya başladı. Lakin son faaliyetler, ANEL’in geliştirilmesinin yine başladığını güçlü bir formda gösteriyor. ANEL evrak manipülasyonu, yük yürütme ve ekran manzarası almaya yönelik temel komutları desteklemektedir.

AkaiRyū kampanyasını araştıran ESET araştırmacısı Dominik Breitenbacher yaptığı açıklamada şunları söyledi: “MirrorFace bir Orta Avrupa diplomatik enstitüsünü amaç aldı. Bildiğimiz kadarıyla bu, MirrorFace’in Avrupa’daki bir kuruluşu gaye aldığı birinci akın. ANEL’in kullanımı MirrorFace ve APT10 ortasındaki potansiyel kontağa ait devam eden tartışmalarda da yeni ispatlar sunuyor. MirrorFace’in ANEL kullanmaya başlaması, emsal hedefleme ve makus hedefli yazılım kodu benzerlikleri üzere daha evvel tespit edilen başka bilgilerle birlikte ilişkilendirmemizde bir değişiklik yapmamıza neden oldu. Artık MirrorFace’in APT10 şemsiyesi altında bir alt küme olduğuna inanıyoruz.”

Buna ek olarak MirrorFace, AsyncRAT’in büyük ölçüde özelleştirilmiş bir varyantını kullanmış ve bu makus gayeli yazılımı, RAT’i Windows Sandbox içinde çalıştıran ve yeni gözlemlenen karmaşık bir yürütme zincirine yerleştirmiş. Bu formül, makûs niyetli faaliyetleri, güvenlik denetimlerinin tehlikeyi tespit etme yeteneklerinden tesirli bir halde gizler. Berbat maksatlı yazılıma paralel olarak MirrorFace, uzak tüneller özelliğini berbata kullanmak için Visual Studio Kodunu (VS Code) da dağıtmaya başlar. Uzak tüneller MirrorFace’in ele geçirilen makineye gizlice erişim kurmasını, keyfi kod çalıştırmasını ve başka araçları sunmasını sağlar. Son olarak MirrorFace, mevcut amiral gemisi art kapısı HiddenFace’i kullanmaya devam ederek tehlikeye atılmış makinelerdeki kalıcılığı daha da güçlendirir. 

ESET, Haziran ve Eylül 2024 tarihleri ortasında MirrorFace’in çok sayıda maksatlı kimlik avı kampanyası yürüttüğünü gözlemledi. ESET bilgilerine nazaran, saldırganlar öncelikle gayeleri berbat gayeli ekleri yahut irtibatları açmaları için kandırarak birinci erişimi elde etti, akabinde makus maksatlı yazılımlarını gizlice yüklemek için yasal uygulamalardan ve araçlardan yararlandı. Bilhassa AkaiRyū Operasyonu’nda MirrorFace, ANEL’i çalıştırmak için hem McAfee tarafından geliştirilen uygulamaları hem de JustSystems tarafından geliştirilen bir uygulamayı kullandı. ESET, MirrorFace’in dataları nasıl dışa aktardığını ve bilgilerin dışarı sızıp sızmadığını ya da nasıl sızdığını belirleyemedi. ESET Research, etkilenen Orta Avrupa diplomatik enstitüsü ile iş birliği yaptı ve isimli bir soruşturma gerçekleştirildi. ESET Research, bu tahlilin sonuçlarını Ocak 2025’teki Ortak Güvenlik Analistleri Konferansı’nda (JSAC) sundu.

Kaynak: (BYZHA) Beyaz Haber Ajansı