MirrorFace olarak bilinen Çin bağlantılı tehdit aktörünün, Haziran 2024’ten bu yana esas olarak Japonya’daki bireyleri ve kuruluşları hedef alan yeni bir hedef odaklı kimlik avı kampanyasına atfedildiği belirtiliyor.
Trend Micro, teknik bir analizde, kampanyanın amacının NOOPDOOR (diğer adıyla HiddenFace) ve ANEL (diğer adıyla UPPERCUT) olarak bilinen arka kapıları sunmak olduğunu söyledi.
Güvenlik araştırmacısı Hara Hiroaki, “Bu kampanyanın ilginç bir yönü, APT10 tarafından 2018 yılına kadar Japonya’yı hedef alan kampanyalarda kullanılan ve o zamandan beri gözlemlenmeyen ANEL adlı bir arka kapının geri dönüşüdür” dedi.
MirrorFace’in ANEL kullanımının, geçen ay Dünya Fuarı ile ilgili yemler kullanılarak Avrupa Birliği’ndeki diplomatik bir kuruluşu hedef alan bir siber saldırının parçası olarak ESET tarafından da belgelendiğini belirtmekte fayda var.
Earth Kasha olarak da bilinen MirrorFace, Japon varlıklarını ısrarla hedeflemesiyle bilinen Çinli bir tehdit aktörüne verilen addır. APT10 içerisinde bir alt küme olduğu değerlendirilmektedir.
En son kampanya, ilk erişim için öncelikle Array Networks ve Fortinet’in uç cihazlarındaki güvenlik kusurlarından yararlanmayı amaçlayan bilgisayar korsanlığı grubunun 2023’te gözlemlediği izinsiz girişlerden bir sapma niteliğinde.
Hedef odaklı kimlik avı e-posta mesajlarına geçiş, Trend Micro’ya göre kasıtlı bir karardır ve saldırıların şirketlerden ziyade bireyleri hedef almak üzere tasarlandığı gerçeğinden kaynaklanan bir karardır.
Hiroaki, “Ayrıca, kurban profilleri ve dağıtılan yem dosyalarının adlarının analizi, düşmanların özellikle Japonya’nın ulusal güvenliği ve uluslararası ilişkileriyle ilgili konularla ilgilendiğini gösteriyor” dedi.
Ücretsiz e-posta hesaplarından veya güvenliği ihlal edilmiş hesaplardan gönderilen dijital mesajlar, Microsoft OneDrive’a bir bağlantı içeriyor. Mevcut ABD-Çin ilişkileri perspektifinden röportaj talepleri ve Japonya’nın ekonomik güvenliği ile ilgili temaları kullanarak alıcıları bubi tuzaklı bir ZIP arşivini indirmeye ikna etmeyi amaçlıyorlar.
Trend Micro, ZIP arşivinin içeriğinin hedeflere bağlı olarak değiştiğini belirterek, ROAMINGMOUSE adlı kötü amaçlı bir damlalık dağıtmak için kullanılan üç farklı enfeksiyon vektörünü ortaya çıkardığını söyledi.
- Makro özellikli bir Word belgesi
- Kendiliğinden açılan bir arşivi (SFX) çalıştıran ve daha sonra makro özellikli bir şablon belgesi yükleyen bir Windows kısayol dosyası
- Gömülü bir dolap arşivini bırakmaktan sorumlu PowerShell’i çalıştıran ve daha sonra makro özellikli bir şablon belgesini yükleyen bir Windows kısayol dosyası
Makro özellikli belge ROAMINGMOUSE, ANEL ile ilgili bileşenler için bir damlalık görevi görür ve sonuçta arka kapıyı başlatırken aynı zamanda onu güvenlik programlarından gizleyen ve tespit edilmesini zorlaştıran kaçırma tekniklerini de içerir.
Damlalık aracılığıyla dağıtılan modüllerden biri, ANEL’i bellekte yürütmek üzere tasarlanmış bir yükleyici olan ANELLDR’dir. DLL yandan yükleme adı verilen bilinen bir yöntem kullanılarak başlatılır, ardından şifreyi çözer ve son aşamadaki arka kapıyı çalıştırır.
32 bit HTTP tabanlı bir implant olan ANEL, ekran görüntüleri yakalamanın, dosyaları yüklemenin/indirmenin, yürütülebilir dosyaları yüklemenin ve cmd.exe aracılığıyla komutları çalıştırmanın bir yolu olarak 2017 ile 2018 yılları arasında aktif olarak geliştirildi. 2024 kampanyası, belirli bir programı yükseltilmiş ayrıcalıklarla çalıştırmak için yeni bir komut sunan güncellenmiş bir sürümü kullanıyor.
Ayrıca saldırı zincirleri, virüslü ortamlardan bilgi toplamak için arka kapıyı kullanır ve NOOPDOOR’u özel ilgi duyulan hedeflere karşı seçici olarak dağıtır.
Hiroaki, “Hedeflerin çoğu, kurumsal kuruluşlarla karşılaştırıldığında farklı düzeyde güvenlik önlemlerine sahip olabilecek araştırmacılar gibi bireylerden oluşuyor ve bu da bu saldırıların tespit edilmesini zorlaştırıyor” dedi. “Şüpheli e-postalara eklenen dosyaların açılmasından kaçınmak gibi temel önlemlerin alınması çok önemli.”