MirrorFace olarak bilinen Çin bağlantılı tehdit aktörünün, Haziran 2024’ten bu yana esas olarak Japonya’daki bireyleri ve kuruluşları hedef alan yeni bir hedef odaklı kimlik avı kampanyasına atfedildiği belirtiliyor.
Kampanyanın amacı NOOPDOOR (diğer adıyla HiddenFace) olarak bilinen arka kapıları sunmak ve ANEL (aka UPPERCUT), Trend Micro teknik bir analizde söyledi.
“Bu kampanyanın ilginç bir yönü, Japonya’yı hedefleyen kampanyalarda kullanılan ANEL adlı bir arka kapının geri dönmesidir. APT10 güvenlik araştırmacısı Hara Hiroaki, 2018 yılına kadar gözlemlenmediğini ve o tarihten bu yana gözlemlenmediğini ifade etti. söz konusu.
MirrorFace’in ANEL kullanımının, geçen ay Dünya Fuarı ile ilgili yemler kullanılarak Avrupa Birliği’ndeki diplomatik bir kuruluşu hedef alan bir siber saldırının parçası olarak ESET tarafından da belgelendiğini belirtmekte fayda var.
Earth Kasha olarak da bilinen MirrorFace, Japon varlıklarını ısrarla hedeflemesiyle bilinen Çinli bir tehdit aktörüne verilen addır. APT10 içerisinde bir alt küme olduğu değerlendirilmektedir.
En son kampanya, ilk erişim için öncelikle Array Networks ve Fortinet’in uç cihazlarındaki güvenlik kusurlarından yararlanmayı amaçlayan bilgisayar korsanlığı grubunun 2023’te gözlemlediği izinsiz girişlerden bir sapma niteliğinde.
Hedef odaklı kimlik avı e-posta mesajlarına geçiş, Trend Micro’ya göre kasıtlı bir karardır ve saldırıların şirketlerden ziyade bireyleri hedef almak üzere tasarlandığı gerçeğinden kaynaklanan bir karardır.
Hiroaki, “Ayrıca, kurban profilleri ve dağıtılan yem dosyalarının adlarının analizi, düşmanların özellikle Japonya’nın ulusal güvenliği ve uluslararası ilişkileriyle ilgili konularla ilgilendiğini gösteriyor” dedi.
Ücretsiz e-posta hesaplarından veya güvenliği ihlal edilmiş hesaplardan gönderilen dijital mesajlar, Microsoft OneDrive’a bir bağlantı içeriyor. Mevcut ABD-Çin ilişkileri perspektifinden röportaj talepleri ve Japonya’nın ekonomik güvenliği ile ilgili temaları kullanarak alıcıları bubi tuzaklı bir ZIP arşivini indirmeye ikna etmeyi amaçlıyorlar.
Trend Micro, ZIP arşivinin içeriğinin hedeflere bağlı olarak değiştiğini belirterek, ROAMINGMOUSE adlı kötü amaçlı bir damlalık dağıtmak için kullanılan üç farklı enfeksiyon vektörünü ortaya çıkardığını söyledi.
- Makro özellikli bir Word belgesi
- Kendiliğinden açılan bir arşivi (SFX) çalıştıran ve daha sonra makro özellikli bir şablon belgesi yükleyen bir Windows kısayol dosyası
- Gömülü bir dolap arşivini bırakmaktan sorumlu PowerShell’i çalıştıran ve daha sonra makro özellikli bir şablon belgesini yükleyen bir Windows kısayol dosyası
Makro özellikli belge ROAMINGMOUSE, ANEL ile ilgili bileşenler için bir damlalık görevi görür ve sonuçta arka kapıyı başlatırken aynı zamanda onu güvenlik programlarından gizleyen ve tespit edilmesini zorlaştıran kaçırma tekniklerini de içerir.
Damlalık aracılığıyla dağıtılan modüllerden biri, ANEL’i bellekte yürütmek üzere tasarlanmış bir yükleyici olan ANELLDR’dir. DLL yandan yükleme adı verilen bilinen bir yöntem kullanılarak başlatılır, ardından şifreyi çözer ve son aşamadaki arka kapıyı çalıştırır.
32 bit HTTP tabanlı bir implant olan ANEL, aktif olarak geliştirildi cmd.exe aracılığıyla ekran görüntüleri yakalamanın, dosyaları yüklemenin/indirmenin, yürütülebilir dosyaları yüklemenin ve komutları çalıştırmanın bir yolu olarak 2017 ile 2018 arasında. 2024 kampanyası, belirli bir programı yükseltilmiş ayrıcalıklarla çalıştırmak için yeni bir komut sunan güncellenmiş bir sürümü kullanıyor.
Ayrıca saldırı zincirleri, virüslü ortamlardan bilgi toplamak için arka kapıyı kullanır ve NOOPDOOR’u özel ilgi duyulan hedeflere karşı seçici olarak dağıtır.
Hiroaki, “Hedeflerin çoğu, kurumsal kuruluşlarla karşılaştırıldığında farklı düzeyde güvenlik önlemlerine sahip olabilecek araştırmacılar gibi bireylerden oluşuyor ve bu da bu saldırıların tespit edilmesini zorlaştırıyor” dedi. “Şüpheli e-postalara eklenen dosyaların açılmasından kaçınmak gibi temel önlemlerin alınması çok önemli.”
