MirrorFace, Japonya’ya Yönelik Çok Yıllı Siber Saldırılarda ANEL ve NOOPDOOR’dan Yararlanıyor

   Ocak 9, 2025  Posted in TheHackerNews


09 Ocak 2025Ravie LakshmananSiber Güvenlik / Kötü Amaçlı Yazılım

Japonya'ya siber saldırılar

Japonya Ulusal Polis Teşkilatı (NPA) ve Ulusal Siber Güvenlik Olaylarına Hazırlık ve Strateji Merkezi (NCSC), MirrorFace adlı Çin bağlantılı bir tehdit aktörünü 2019’dan bu yana ülkedeki kuruluşları, işletmeleri ve bireyleri hedef alan kalıcı bir saldırı kampanyası düzenlemekle suçladı.

Ajanslar, saldırı kampanyasının temel amacının Japonya’nın ulusal güvenliği ve ileri teknolojisiyle ilgili bilgileri çalmak olduğunu söyledi.

Siber güvenlik

Earth Kasha olarak da takip edilen MirrorFace’in APT10 içerisinde bir alt grup olduğu değerlendiriliyor. Genellikle ANEL, LODEINFO ve NOOPDOOR (diğer adıyla HiddenFace) gibi araçlardan yararlanan Japon varlıklarını sistematik olarak vurma konusunda bir geçmişe sahiptir.

Geçtiğimiz ay Trend Micro, ANEL ve NOOPDOOR’u sunmak amacıyla Japonya’daki bireyleri ve kuruluşları hedef alan hedef odaklı kimlik avı kampanyasının ayrıntılarını açıkladı. Son yıllarda gözlemlenen diğer kampanyalar da Tayvan ve Hindistan’a yöneliktir.

NPA ve NCSC’ye göre MirrorFace tarafından gerçekleştirilen saldırılar genel olarak üç ana kampanyaya ayrılmıştır:

  • Kampanya A (Aralık 2019’dan Temmuz 2023’e kadar), LODEINFO, NOOPDOOR ve LilimRAT (açık kaynaklı Lilith RAT’ın özel bir versiyonu) sunmak için hedef odaklı kimlik avı e-postaları kullanan düşünce kuruluşlarını, hükümetleri, politikacıları ve medya kuruluşlarını hedef alıyor.
  • Kampanya B (Şubat’tan Ekim 2023’e kadar), Cobalt Strike Beacon, LODEINFO ve NOOPDOOR sunmak için ağları aşmak amacıyla internete bakan Array Networks, Citrix ve Fortinet cihazlarındaki bilinen güvenlik açıklarından yararlanarak yarı iletken, üretim, iletişim, akademik ve havacılık sektörlerini hedefliyor
  • Kampanya C (Haziran 2024’ten itibaren), ANEL’i sunmak için hedef odaklı kimlik avı e-postaları kullanan akademi, düşünce kuruluşları, politikacılar ve medya kuruluşlarını hedef alıyor.
Siber güvenlik

Ajanslar ayrıca, saldırganların Windows Sandbox içindeki ana bilgisayarda depolanan kötü amaçlı yükleri gizlice yürüttüğü ve en az Haziran 2023’ten bu yana bir komuta ve kontrol sunucusuyla iletişim kurduğu örnekleri de gözlemlediklerini belirtti.

NPA, “Bu yöntem, kötü amaçlı yazılımların ana bilgisayardaki antivirüs yazılımı veya EDR tarafından izlenmeden yürütülmesine olanak tanıyor ve ana bilgisayar kapatıldığında veya yeniden başlatıldığında Windows Sandbox’taki izler siliniyor, böylece geride kanıt kalmıyor.” ve NCSC dedi.

Bu makaleyi ilginç buldunuz mu? Bizi takip edin heyecan ve yayınladığımız daha özel içerikleri okumak için LinkedIn.





Source link