Önemli bir gelişmede, Mirrorface olarak bilinen Çin’e hizalanmış ileri süren tehdit (APT) grubu, saldırılarının gizliliğini arttırmak için sofistike taktikler kullandığı gözlenmiştir.
Son zamanlarda, Mirrorface, Windows sanalbox’ın içinde çalıştırmak için halka açık bir uzaktan erişim Truva atı (sıçan) olan Asyncrat’ın yürütülmesini değiştirdi, böylece güvenlik kontrolleri tarafından tespit edildi.
Bu yaklaşım, Mirrorface’nin faaliyetlerinin Japonya’ya odaklanmasının ötesinde kayda değer bir genişlemeyi işaret eden Akairyū Operasyonu olarak adlandırılan daha geniş bir kampanyanın bir parçasıdır.
Gelişmiş gizli ve yürütme teknikleri
Mirrorface’nin özelleştirilmiş bir asyncrat varyantı kullanması, Windows Sandbox’tan yararlanan karmaşık bir yürütme zincirine gömülmeyi içerir.
Bu sandbox ortamı, sıçanın ana sistemde iz bırakmadan çalışmasını sağlar, bu da güvenlik araçlarının tespit etmesini zorlaştırır.
Asyncrat varyantı, numune etiketleme, TOR aracılığıyla komuta bağlantı ve kontrol (C&C) sunucuları ve makineye özgü alanların üretilmesi için bir alan oluşturma algoritması (DGA) gibi özelliklerle büyük ölçüde özelleştirilir.
Bu modifikasyonlar, Mirrorface’nin tespit riskini en aza indirirken, tehlikeye atılan sistemler üzerinde kalıcılığı ve kontrolü korumasını sağlar.
Asyncrat’a ek olarak Mirrorface, daha önce APT10 ile ilişkili bir arka kapı olan Anel kullanımını da canlandırdı.
ESET raporuna göre, bu hareket aynaface ve APT10 arasında potansiyel bir bağlantı olduğunu gösteriyor, bazı araştırmacılar şimdi APT10 şemsiyesi altında bir alt grup olarak Mirrorface’i düşünüyor.
Anel’in birinci sınıf bir arka kapı olarak dağıtılması, Mirrorface’nin taktiklerinde, tekniklerinde ve prosedürlerinde (TTP’ler) stratejik bir değişimi gösterir.
Ayrıca, Mirrorface, tehlikeye atılan makinelere gizli erişim sağlamak, keyfi kod yürütmek ve ek araçlar sunmak için Visual Studio Code’un Uzak Tüneller özelliğini kullanıyor.
Akairyū operasyonu ve genişletilmiş hedefler
2024’ün ortalarında başlayan Akairyū Operasyonu, bir Avrupa varlığına saldıran ilk bilinen ayna vakası örneğini işaretleyen Orta Avrupa Diplomatik Enstitüsü’nü hedef aldı.
Operasyon, hedefleri kötü niyetli ekler açmaya yönlendirmek için Japonya’nın Osaka kentindeki Expo 2025’e atıfta bulunan Spearphing e -postaları kullanıldı.
Bu kampanya, Mirrorface’nin Japonya ile ilgili olaylara odaklanırken taktiklerini uyarlama yeteneğini vurgulamaktadır.
Grubun kalıcı sonrası faaliyetleri, kalıcılığı korumak ve hassas bilgileri toplamak için macun, vs kod ve hiddenface gibi bir dizi aracı dağıtmayı içeriyordu.
Etkilenen Diplomatik Enstitü ile işbirliği, Mirrorface’nin kontratür sonrası faaliyetlerine göre değerli bilgiler verdi ve gizliliği korumak ve hedeflere ulaşmak için sofistike bir yaklaşım ortaya koydu.
Bu gelişmelere rağmen, Mirrorface’nin operasyonel güvenlik iyileştirmeleri, araştırmacıların faaliyetleri hakkında kapsamlı veriler toplamalarını daha zor hale getirdi.
Windows Sandbox ve diğer kaçınma tekniklerinin kullanımı, siber tehditlerin gelişen doğasının ve bu tür sofistike saldırılara karşı koymak için artan güvenlik önlemlerine ihtiyaç olduğunu vurgulamaktadır.
SOC/DFIR ekiplerinden misiniz? -Kötü amaçlı yazılım olaylarını analiz edin ve herhangi biriyle canlı erişim alın.Run -> Şimdi ücretsiz başlayın.