Japonya Ulusal Polis Teşkilatı (NPA) ve Ulusal Siber Güvenlik Olaylarına Hazırlık ve Strateji Merkezi (NCSC), MirrorFace adlı Çin bağlantılı bir tehdit aktörünü 2019’dan bu yana ülkedeki kuruluşları, işletmeleri ve bireyleri hedef alan kalıcı bir saldırı kampanyası düzenlemekle suçladı.
Saldırı kampanyasının temel amacı, Japonya’nın ulusal güvenliği ve ileri teknolojisi ile ilgili bilgileri çalmak. söz konusu.
Earth Kasha olarak da takip edilen MirrorFace’in APT10 içerisinde bir alt grup olduğu değerlendiriliyor. Genellikle ANEL, LODEINFO ve NOOPDOOR (diğer adıyla HiddenFace) gibi araçlardan yararlanan Japon varlıklarını sistematik olarak vurma konusunda bir geçmişi var.
Geçtiğimiz ay Trend Micro, ANEL ve NOOPDOOR’u sunmak amacıyla Japonya’daki bireyleri ve kuruluşları hedef alan hedef odaklı kimlik avı kampanyasının ayrıntılarını açıkladı. Son yıllarda gözlemlenen diğer kampanyalar da Tayvan ve Hindistan’a yöneliktir.
NPA ve NCSC’ye göre MirrorFace tarafından gerçekleştirilen saldırılar genel olarak üç ana kampanyaya kategorize edildi:
- Kampanya A (Aralık 2019’dan Temmuz 2023’e kadar), LODEINFO, NOOPDOOR ve dağıtmak için hedef odaklı kimlik avı e-postaları kullanan düşünce kuruluşlarını, hükümetleri, politikacıları ve medya kuruluşlarını hedef alıyor. LilimRAT (açık kaynağın özel bir sürümü Lilith RAT)
- Kampanya B (Şubat’tan Ekim 2023’e kadar), Cobalt Strike Beacon, LODEINFO ve NOOPDOOR sunmak için ağları aşmak amacıyla internete bakan Array Networks, Citrix ve Fortinet cihazlarındaki bilinen güvenlik açıklarından yararlanarak yarı iletken, üretim, iletişim, akademik ve havacılık sektörlerini hedefliyor
- Kampanya C (Haziran 2024’ten itibaren), ANEL’i sunmak için hedef odaklı kimlik avı e-postaları kullanan akademi, düşünce kuruluşları, politikacılar ve medya kuruluşlarını hedef alıyor.
Ajanslar ayrıca, saldırganların Windows Sandbox içindeki ana bilgisayarda depolanan kötü amaçlı yükleri gizlice yürüttüğü ve en az Haziran 2023’ten bu yana bir komuta ve kontrol sunucusuyla iletişim kurduğu örnekleri gözlemlediklerini de belirtti.
NPA, “Bu yöntem, kötü amaçlı yazılımların ana bilgisayardaki antivirüs yazılımı veya EDR tarafından izlenmeden yürütülmesine olanak tanıyor ve ana bilgisayar kapatıldığında veya yeniden başlatıldığında Windows Sandbox’taki izler siliniyor, böylece geride kanıt kalmıyor.” ve NCSC dedi.
