Çinli APT grubu MirrorFace, bu yıl Japonya Temsilciler Meclisi seçimlerini etkilemeye çalıştı, bir soruşturma ortaya çıktı.
Avrupa BT güvenlik satıcısı ESET’teki araştırmacılara göre, grup bir siyasi partinin bireysel üyelerine hedef odaklı kimlik avı saldırıları kullandı. Kampanyaya LiberalFace Operasyonu adını veren araştırma ekibi, kurmak hileli e-postalar, kötü amaçlı yazılımı yaymak veya kurbanlarından kimlik bilgilerini, belgeleri ve e-postaları çalmak için kullanılan bir arka kapı olan, iyi bilinen kötü amaçlı yazılım LodeInfo’yu içeriyordu.
MirrorFace, Japonya merkezli şirketleri ve kuruluşları hedef alan Çince bir tehdit aktörüdür. Saldırıyı 29 Haziran 2022’de, Temmuz’daki Japonya seçimlerinden önce başlattı.
MirrorFace, bir Japon siyasi partisinin halkla ilişkiler departmanı olma bahanesiyle, e-postaların alıcılarından ekteki videoları kendi sosyal medya profillerinde paylaşmalarını istedi. İddiaya göre bu, partinin algısını daha da güçlendirmek ve Temsilciler Meclisi’nde zaferi güvence altına almaktı.
Mesaj ayrıca videoların yayınlanma stratejisi hakkında net talimatlar içeriyor ve güya önde gelen bir politikacı adına gönderilmiş.
Kötü Amaçlı Ekler
Tüm hedefli kimlik avı mesajları, yürütüldüğünde güvenliği ihlal edilmiş makinede LodeInfo kötü amaçlı yazılım programını tetikleyen kötü amaçlı bir ek içeriyordu.
LodeInfo, sürekli geliştirilmekte olan bir MirrorFace arka kapısıdır. İşlevleri arasında ekran görüntüsü alma, keylogging, işlemleri sonlandırma, verileri sızdırma, ek kötü amaçlı yazılım çalıştırma ve belirli dosya ve klasörleri şifreleme yer alır.
2019’dan beri kötü amaçlı yazılım ailesini takip eden Kaspersky araştırmacılarına göre, sofistike ve sürekli gelişen LodeInfo daha önce medya, diplomatik, hükümet, kamu sektörü ve düşünce kuruluşu hedeflerine karşı konuşlandırılmıştı.
Saldırıda ESET Research tarafından MirrorStealer adlı daha önce belgelenmemiş bir kimlik bilgisi hırsızı da kullanıldı. Tarayıcılar ve e-posta istemcileri gibi çeşitli uygulamalardan kimlik bilgilerini çalabilir.
ESET araştırmacısı Dominik Breitenbacher, “LiberalFace Operasyonu soruşturması sırasında, kurbanlardan değerli verileri toplamak ve sızdırmak için ek kötü amaçlı yazılımların ve araçların konuşlandırılması ve kullanılması gibi daha fazla MirrorFace TTP’sini ortaya çıkarmayı başardık” diye yazdı. “Ayrıca, araştırmamız MirrorFace operatörlerinin biraz dikkatsiz olduğunu, iz bıraktığını ve çeşitli hatalar yaptığını ortaya çıkardı.”
Bu hacker grubunun APT10’a bağlı olabileceğine dair spekülasyonlar var, ancak ESET yaptığı analizde buna veya diğer APT gruplarıyla işbirliğine dair net bir kanıt bulamadı ve bu nedenle MirrorFace’i ayrı bir varlık olarak takip ediyor.
Grubun, ilgili dosyaları gözetlemek ve sızdırmak amacıyla öncelikle medyayı, savunma yüklenicilerini, düşünce kuruluşlarını, diplomatik kuruluşları ve akademik kurumları hedef aldığı bildiriliyor.
Siber Güvenlik ve Altyapı Güvenliği Dairesi (CISA) ve Ulusal Güvenlik Teşkilatından (NSA) yapılan ortak bir uyarıya göre, Çin’e bağlı devlet destekli siber saldırganlar, kamu ve özel alanlardaki hedefleri tehlikeye atarak aktif olarak geniş bir saldırı altyapısı ağı kuruyor. ve FBI.
Örneğin devlet destekli RedAlpha APT grubu, insan hakları ihlallerine yol açabilecek istihbarat toplamak amacıyla yıllardır Uygurlar, Tibet ve Tayvan adına çalışan kuruluşları hedef alıyor.