Expo 2025 yemiyle siber saldırı
MirrorFace operatörleri, enstitü ile bir Japon sivil toplum kuruluşu arasında daha önce gerçekleşen meşru bir etkileşime atıfta bulunan bir e-posta mesajı hazırlayarak spearphishing saldırısı düzenlediler.
AkaiRyū kampanyasını araştıran ESET araştırmacısı Dominik Breitenbacher yaptığı açıklamada şunları söyledi: "MirrorFace bir Orta Avrupa diplomatik enstitüsünü hedef aldı. Bildiğimiz kadarıyla bu, MirrorFace'in Avrupa'daki bir kuruluşu hedef aldığı ilk saldırı. ANEL'in kullanımı MirrorFace ve APT10 arasındaki potansiyel bağlantıya ilişkin devam eden tartışmalarda da yeni kanıtlar sunuyor. MirrorFace'in ANEL kullanmaya başlaması, benzer hedefleme ve kötü amaçlı yazılım kodu benzerlikleri gibi daha önce tespit edilen diğer bilgilerle birlikte ilişkilendirmemizde bir değişiklik yapmamıza neden oldu. Artık MirrorFace'in APT10 şemsiyesi altında bir alt grup olduğuna inanıyoruz."
BÜYÜK ÖLÇÜDE ÖZELLEŞTİRİLMİŞ BİR VARYANTINI KULLANMIŞ
Buna ek olarak MirrorFace, AsyncRAT'in büyük ölçüde özelleştirilmiş bir varyantını kullanmış ve bu kötü amaçlı yazılımı, RAT'i Windows Sandbox içinde çalıştıran ve yeni gözlemlenen karmaşık bir yürütme zincirine yerleştirmiş. Bu yöntem, kötü niyetli faaliyetleri, güvenlik kontrollerinin tehlikeyi tespit etme yeteneklerinden etkili bir şekilde gizler. Kötü amaçlı yazılıma paralel olarak MirrorFace, uzak tüneller özelliğini kötüye kullanmak için Visual Studio Kodunu (VS Code) da dağıtmaya başlar. Uzak tüneller MirrorFace'in ele geçirilen makineye gizlice erişim kurmasını, keyfi kod çalıştırmasını ve diğer araçları sunmasını sağlar. Son olarak MirrorFace, mevcut amiral gemisi arka kapısı HiddenFace'i kullanmaya devam ederek tehlikeye atılmış makinelerdeki kalıcılığı daha da güçlendirir.
BAĞLANTILARI AÇMALARI İÇİN KANDIRARAK İLK ERİŞİMİ ELDE ETTİ
ESET, Haziran ve Eylül 2024 tarihleri arasında MirrorFace'in çok sayıda hedefli kimlik avı kampanyası yürüttüğünü gözlemledi. ESET verilerine göre, saldırganlar öncelikle hedefleri kötü amaçlı ekleri veya bağlantıları açmaları için kandırarak ilk erişimi elde etti, ardından kötü amaçlı yazılımlarını gizlice yüklemek için yasal uygulamalardan ve araçlardan yararlandı. Özellikle AkaiRyū Operasyonu'nda MirrorFace, ANEL'i çalıştırmak için hem McAfee tarafından geliştirilen uygulamaları hem de JustSystems tarafından geliştirilen bir uygulamayı kullandı. ESET, MirrorFace'in verileri nasıl dışa aktardığını ve verilerin dışarı sızıp sızmadığını ya da nasıl sızdığını belirleyemedi. ESET Research, etkilenen Orta Avrupa diplomatik enstitüsü ile iş birliği yaptı ve adli bir soruşturma gerçekleştirildi. ESET Research, bu analizin sonuçlarını Ocak 2025'teki Ortak Güvenlik Analistleri Konferansı'nda (JSAC) sundu.
Kaynak:
Türkçe karakter kullanılmayan ve büyük harflerle yazılmış yorumlar onaylanmamaktadır.