Siber güvenlik şirketi ESET, Çin bağlantılı MirrorFace APT (gelişmiş kalıcı tehdit) grubunun Japonya'nın Osaka kentinde düzenlenecek Expo 2025 ile ilgili olarak Orta Avrupa'daki bir diplomatik enstitüye karşı yürüttüğü siber casusluk faaliyetini ortaya çıkardı. ESET'in tespitlerine göre, genellikle Japonya'daki kuruluşları hedef alan MirrorFace, ilk kez Avrupalı bir kuruluşa sızma girişiminde bulundu. 2024'ün ikinci ve üçüncü çeyreğinde tespit edilen ve ESET tarafından "AkaiRyū Operasyonu" (Japonca: RedDragon) olarak adlandırılan kampanya, MirrorFace'in yenilenmiş taktik, teknik ve prosedürlerini (TTP) sergiliyor.
Spearphishing Saldırısı ve Expo 2025 Temalı Yönlendirme
MirrorFace operatörleri, hedef diplomatik enstitü ile Japonya merkezli bir sivil toplum kuruluşu arasındaki önceki yasal bir etkileşime dayanarak spearphishing saldırısı düzenledi. Bu saldırıda, tehdit aktörü, Japonya'nın Osaka kentinde düzenlenecek olan World Expo 2025'i bir yem olarak kullandı. Bu Avrupa diplomatik enstitüsüne yapılan saldırı öncesinde, MirrorFace Japonya'daki bir araştırma enstitüsündeki iki çalışanı parola korumalı kötü amaçlı bir Word belgesi ile hedef aldı.
ESET'in analizi, MirrorFace'in saldırı yöntemlerinde önemli değişiklikler yaptığını ortaya koydu. Özellikle, APT10 grubuna ait olduğu düşünülen ve yıllar önce terk edildiği sanılan ANEL (UPPERCUT) adlı bir arka kapıyı yeniden kullanmaya başladı. Son faaliyetler, ANEL'in yeniden geliştirildiğine dair güçlü kanıtlar sundu. ANEL, dosya manipülasyonu, yük yürütme ve ekran görüntüsü alma gibi temel komutları destekleyen bir arka kapı olarak biliniyor.
APT10 ile MirrorFace Arasındaki Bağlantılar Güçleniyor
ESET araştırmacısı Dominik Breitenbacher yaptığı açıklamada, "MirrorFace'in Orta Avrupa'daki bir diplomatik enstitüyü hedef alması, grubun faaliyetlerinde önemli bir genişleme anlamına geliyor. Bildiğimiz kadarıyla bu, MirrorFace'in Avrupa'daki ilk saldırısı. Ayrıca, ANEL'in yeniden kullanılması, MirrorFace ve APT10 arasındaki olası bağlantıyı güçlendiren yeni kanıtlar sunuyor. Daha önce belirlenen hedefleme benzerlikleri ve kötü amaçlı yazılım kodu ortaklıkları ile birlikte, MirrorFace'in APT10'un bir alt grubu olduğu sonucuna vardık" dedi.
Yeni Yöntemler: AsyncRAT ve VS Code'un Kötüye Kullanımı
MirrorFace, AsyncRAT'in büyük ölçüde özelleştirilmiş bir varyantını kullanarak kötü amaçlı yazılımını Windows Sandbox içinde çalıştırdı. Yeni gözlemlenen bu karmaşık yürütme zinciri, güvenlik kontrollerinden kaçınmayı sağladı. MirrorFace ayrıca, uzak tüneller özelliğini kötüye kullanmak için Visual Studio Code (VS Code) aracını da devreye aldı. Bu yöntem, ele geçirilen makinelere gizli erişim sağlayarak, keyfi kod yürütülmesine ve diğer kötü amaçlı araçların yüklenmesine olanak tanıyor.
MirrorFace, en gelişmiş arka kapılarından biri olan HiddenFace'i de kullanarak sistemlerdeki kalıcılığını daha da güçlendirdi. HiddenFace, tespit edilmekten kaçınmak için sürekli olarak güncellenen ve genişletilen bir modüler yapıya sahip.
Kimlik Avı Kampanyaları ve Güvenlik Önlemleri
ESET'in Haziran ve Eylül 2024 arasında yaptığı analizlere göre, MirrorFace çok sayıda hedefli kimlik avı kampanyası yürüttü. Tehdit aktörleri, kurbanları kötü amaçlı ekleri veya bağlantıları açmaları için kandırarak başlangıç erişimi sağladı ve ardından güvenilir uygulamalar üzerinden kötü amaçlı yazılımlarını sistemlere yükledi. AkaiRyū Operasyonu kapsamında, MirrorFace'in ANEL arka kapısını çalıştırmak için McAfee ve JustSystems tarafından geliştirilen uygulamaları kullandığı tespit edildi.
Buna rağmen, MirrorFace'in çaldığı verileri tam olarak nasıl dışa aktardığı belirlenemedi. ESET Research, etkilenen diplomatik enstitü ile iş birliği yaparak adli bir soruşturma yürüttü. Bu analizlerin bulguları, Ocak 2025'te düzenlenen Ortak Güvenlik Analistleri Konferansı'nda (JSAC) sunuldu.
ESET, MirrorFace'in giderek daha sofistike hale gelen siber casusluk yöntemlerine karşı kurumları uyardı ve Expo 2025 gibi büyük uluslararası etkinliklerle ilgili artan siber tehditlere dikkat çekti. Şirket, hedefli kimlik avı saldırılarına karşı kuruluşların güvenlik farkındalığını artırmasını ve proaktif tehdit avcılığı mekanizmalarını benimsemesini öneriyor. Ayrıca, güvenilir uygulamaların kötüye kullanılmasına karşı tespit mekanizmalarının güçlendirilmesi gerektiği vurgulandı.