Siber savaş / ulus-devlet saldırıları, sahtekarlık yönetimi ve siber suç
Mirrorface operasyonları genişletir, casusluk için anel arka kapıyı canlandırır
Prajeet Nair (@prajeaetspeaks) •
18 Mart 2025
Japonya’ya karşı Çin siber başarı kampanyalarıyla ilişkili bir tehdit oyuncusu, yenilenen bir hackleme aracı seti ile bir Avrupa organizasyonunu hedeflemek için Doğu Asya konfor bölgesinin dışına çıktı.
Ayrıca bakınız: Ondemand | Kuzey Kore’nin Gizli It Ordusu ve Nasıl Savaşır
ESET’ten araştırmacılar, bir Salı blog yazısında, Mirrorface olarak izlenen hack grubunun daha önce sadece APT10 olarak izlenen bir tehdit grubu tarafından kullanılan bir arka kapı konuşlandırdığını fark ettiklerini söyledi. 2018 yılında ABD Adalet Bakanlığı, 2018 yılında bakanlık tarafından kullanılan özel bir sektör hackleme satıcısı için çalışan iki APT10 hacker’ı suçladı. Çin, kendi adına siber sorumluluk yürütmek için kendi aralarında araç ve prosedürleri paylaşan bir şirket ağı geliştirdi.
Arka kapı, üst kesim olarak da izlenen Anel olarak bilinir. Mirrorface tarafından kullanımı – ESET’in grup için adı – “, Anel’in 2018’in sonunda veya 2019’un başlangıcında terk edildiğine ve Lodeinfo’nun 2019’da daha sonra ortaya çıktığını başardığına inanıldığı için şaşırtıcıdır.”
Mirrorface’nin arka kapıyı kullanması ve hedefleme ve kötü amaçlı yazılımdaki benzerlikler, ESET’in grubu APT10’un bir alt grubu olarak yeniden sınıflandırmasına neden oldu.
ESET, Ağustos 2024’te saldıran ayna yüzeyli bilgisayar korsanlarını tespit etti ve yaklaşan Expo 2025’e atıfta bulunan bir mızrak kimlik avı mesajı kullanarak “Orta Avrupa Diplomatik Enstitüsü”, Osaka, Japonya, yem olarak.
İlk mesaj kötü niyetli değildi, ancak hedef yanıt verdikten sonra, aynalı operatörler etiketli arşivlenmiş bir dosyaya bağlantı içeren bir e -posta ile yanıt verdi The EXPO Exhibition in Japan in 2025.docx.lnk. Kötü niyetli dosyanın açılması, VBA makrolarına sahip bir kelime şablonu ve DLL yan yükleme için kullanılan JustSystems Corporation’dan imzalı bir yürütülebilir dosyayı dahil olmak üzere ek yükler dağıttı.
Bir kez yürütüldüğünde, yük Anel’yi dağıttı. Daha önceki sürümlerden farklı olarak, Anel diskte AES şifreli ve sadece bellekte şifre çözüldü ve algılamayı zorlaştırdı. Arka kapı, HTTP üzerinden komut ve kontrol sunucusuyla iletişim kurarak izlemeden kaçınmak için iletimleri şifreledi.
Kalıcılığı korumak için Mirrorface, planlanan görevlerin ve kayıt defteri değişikliklerinin yanı sıra Hiddenface’yi, amiral gemisi arka kapısını konuşlandırdı. Saldırganlar, tespiti engellemek için yürütüldükten sonra etkinlik günlüklerini sistematik olarak sildi, adli eserleri sildi ve kaldırıldı.
Araştırmacılar ayrıca, Windows Sandbox’ın içinde ağır özelleştirilmiş bir asyncrat çalıştıran grubun, tek başına çalışmasına ve güvenlik izlemesinden kaçınmasına izin verdiğini gözlemlediler. Truva, şifre korumalı bir arşivde teslim edildi ve zamanlanmış bir görevle yürütüldü ve varlığını daha da gizledi.
Mirrorface ayrıca, tehlikeye atılan makinelere gizli, kalıcı erişim sağlamak için meşru bir özellik olan Visual Studio Code’un uzak tünellerini de kötüye kullandı. Bu yöntem, güvenlik duvarı ve uç nokta güvenlik korumalarını atlarken kod yürütme ve araç dağıtımını etkinleştirdi.
Araştırmacılar, saldırganların otomatik doldurma detayları ve depolanan kimlik bilgileri de dahil olmak üzere Google Chrome’un web verilerinin bir SQLITE veritabanına dışa aktarıldığından şüphelenerek, potansiyel olarak hassas diplomatik iletişim ve ağ kimlik bilgilerini ortaya çıkarıyor.