Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar, Devlet
Ağlara Sızmak İçin Windows Sandbox’tan ve Visual Studio Kodundan Yararlanan Grup
Jayant Chakravarti (@JayJay_Tech) •
13 Ocak 2025
Japon polisi, Çin devleti destekli “MirrorFace” adlı siber suç grubunu, son beş yılda birden fazla kampanyada ileri teknolojilere ve ulusal güvenlik sırlarına erişim sağlamak amacıyla hükümet yetkililerini, düşünce kuruluşlarını, medya ajanslarını ve yüksek teknoloji kuruluşlarını ve işletmelerini hedef almakla suçladı. yıllar.
Ayrıca bakınız: Kuruluşunuzu Güvenceye Almak İçin 57 İpucu
Ulusal Polis Teşkilatı Çarşamba günü son siber saldırıları Çin merkezli gruba bağladı ve bilgisayar korsanlarının hedeflenen sistemlere veri çalan kötü amaçlı yazılımlar enjekte etmek için Microsoft’un Visual Studio Code ve Windows Sandbox’ından yararlandığını söyledi.
2019’dan bu yana, Tokyo Büyükşehir Polis Departmanı ve Kanto Bölge Polis Bürosu Siber Özel Soruşturma Birimi de dahil olmak üzere birçok yerel polis teşkilatı, mevcut ve emekli hükümet yetkililerine, politikacılara, medya ajanslarına ve düşünce kuruluşlarına yönelik sık sık saldırılar tespit etti. Polis kampanyanın hâlâ devam ettiğini söylüyor.
Siber casusluk grubu, 2023’ten beri Japon yarı iletken, havacılık, bilgi ve iletişim ve akademik kuruluşlardaki bireyleri hedef alıyor ve kurbanları, cihazlarından bilgi sızdırmak üzere tasarlanmış kötü amaçlı yazılım indirmeye teşvik etmek için hedef odaklı kimlik avı e-postaları gönderiyor.
Duyuru, ABD Siber Komutanlığı ve Ulusal Güvenlik Ajansı’nın Japon yetkilileri, Çinli bir siber casusluk grubunun askeri yetenekler ve eksiklikler hakkında bilgi sızdırmak amacıyla 2020 yılında Japon Savunma Bakanlığı ağına ve diğer gizli askeri ağlara sızdığı konusunda uyarmasının ardından geldi. ABD savunma yetkilileri, bu tür ihlallerin Pentagon ile Japonya Savunma Bakanlığı arasındaki istihbarat paylaşımını etkileyebileceği konusunda uyardı (bkz: Çin’e Atfedilen Japonya’ya Yönelik Büyük Siber Casusluk Saldırısı).
Earth Kasha olarak da takip edilen MirrorFace, farklı kötü amaçlı yazılım türlerini ve sıklıkla örtüşen saldırı tekniklerini kullanarak üç farklı saldırı kampanyası gerçekleştirdi. İlk kampanya Aralık 2019’da başladı ve bilgisayar korsanlarının Microsoft Outlook, Gmail ve çalıntı e-posta hesaplarını kullanarak Japon politikacılara, hükümet yetkililerine, düşünce kuruluşlarına ve medya ajanslarına hedefli kimlik avı yapmak ve Lodeinfo, LilimRAT ve Noopdoor veri çalan kötü amaçlı yazılımları virüslü cihazlara dağıtmak için kullanılmasını içeriyordu.
Bilgisayar korsanları, e-postaları meşrulaştırmak için jeopolitik odaklı anahtar kelimeler kullandı. Bazı durumlarda şüpheyi azaltmak için kurbanlarıyla konuştuktan sonra kötü niyetli ekler paylaştılar. Çoğu durumda, bilgisayar korsanları kötü amaçlı yazılım dağıtmak için Microsoft Word ve Excel’i, sanal sabit disk görüntülerini ve ISO dosyalarını kullandı.
Şubat ve Ekim 2023 arasındaki ikinci saldırı kampanyası, MirrorFace’in Japon savunma, havacılık, bilgi teknolojisi, iletişim, yarı iletken ve akademik kuruluşların ağlarına sızmak için harici genel sunuculardaki yazılım ve VPN güvenlik açıklarından ve SQL enjeksiyon güvenlik açıklarından yoğun şekilde yararlanmasını içeriyordu.
Casusluk grubu, ilk erişimi sağladıktan sonra aktif dizin sunucularına, Microsoft 365 ortamlarına, sanal sunuculara ve VPN cihazlarına daha fazla erişim elde etti ve burada verileri çalmak için tünel açma araçlarını ve açık kaynaklı WebShell’i kurdu. Grup ayrıca virüslü sistemlere Cobalt Strike işaretlerini ve Lodeinfo ve Noopdoor veri çalan kötü amaçlı yazılımları da yerleştirdi.
İlk olarak Haziran 2024’te gözlemlenen üçüncü kampanya, hedeflenen kişiler ve hedef odaklı kimlik avı e-postalarında jeopolitik açıdan ilgili temaların kullanımı açısından ilk kampanyayı yansıtıyordu, ancak veri enjekte etmek için Microsoft’un Visual Studio Code ve Windows Sandbox’ından yararlanılmasını içeriyordu. Hedeflenen sistemlere kötü amaçlı yazılım çalmak.
MirrorFace korsanları ayrıca, sanallaştırılmış bir Windows masaüstü ortamı olan Windows Sandbox’ın başlangıç ayarlarından da yararlanarak, virüslü sistemde zaten depolanmış olan kötü amaçlı yazılımları çalıştırdı ve kötü amaçlı yazılım ile komuta ve kontrol sunucusu arasında iletişim kurdu. NPA, bu tekniğin antivirüs araçları veya uç nokta tespit sistemleri tarafından tespit edilmekten kaçındığını söylüyor. Sistemin yeniden başlatılması Windows Sandbox’taki izleri siler ve olay sonrası adli analiz yapılmasını zorlaştırır.
NPA, MirrorFace grubunun, Haziran 2014’ten bu yana yazılım geliştiricilerin Windows sistemlerine uzaktan bağlanmak ve komutları çalıştırmak için kullandığı Microsoft Visual Studio Code’un geliştirme tüneli özelliğinden yararlandığını söyledi. Anel kötü amaçlı yazılımının bulaştığı sistemleri hedef alan bilgisayar korsanları, VS Code komut satırını indirdi arayüz aracı, VS Code sunucusunu başlattı ve geliştirme tünelini kullanarak PowerShell’deki harici komutları besledi.
Siber güvenlik şirketi Trend Micro, Kasım ayında, Earth Kasha olarak takip ettiği MirrorFace’in, LodeInfo kötü amaçlı yazılımını kullanarak en az 2023’ten bu yana Japonya, Tayvan ve Hindistan’daki ileri teknolojiyle ilgili devlet kurumlarını ve kuruluşlarını hedef aldığını gözlemlediğini söyledi.