Expo 2025 yemiyle siber saldırı

MirrorFace operatörleri, enstitü ile Japon sivil toplum kuruluşu arasında daha önce gerçekleşen meşru etkileşime atıfta bulunan e-posta mesajı hazırlayarak spearphishing saldırısı düzenledi. Saldırıda tehdit aktörü, Japonya'nın Osaka kentinde düzenlenecek olan World Expo 2025'i yem olarak kullandı. Avrupa diplomatik enstitüsüne yapılan saldırıdan önce MirrorFace, bilinmeyen şekilde gönderilen kötü niyetli, parola korumalı Word belgesi kullanarak Japon araştırma enstitüsündeki iki çalışanı hedef aldı. AkaiRyū Operasyonu'nun analizi sırasında ESET, MirrorFace'in TTP'lerini ve araçlarını önemli ölçüde yenilediğini keşfetti. MirrorFace, yıllar önce terk edildiğine inanılan ve APT10'a özel olduğu düşünülen bir arka kapı olan ANEL'i kullanmaya başladı. Son faaliyetler, ANEL'in geliştirilmesinin yeniden başladığını gösteriyor. Dosya manipülasyonu, yük yürütme ve ekran görüntüsü almaya yönelik temel komutları destekliyor.

AkaiRyū kampanyasını araştıran ESET araştırmacısı Dominik Breitenbacher, "MirrorFace Orta Avrupa diplomatik enstitüsünü hedef aldı. Bu, Avrupa'da bir kuruluşa ilk saldırı. ANEL'in kullanımı MirrorFace ve APT10 arasındaki potansiyel bağlantıya ilişkin süren tartışmalarda yeni kanıtlar sunuyor. MirrorFace'in ANEL kullanmaya başlaması, benzer hedefleme ve kötü amaçlı yazılım kodu benzerlikleri gibi daha önce belirlenen diğer bilgilerle ilişkilendirmemizde değişiklik yapmamıza neden oldu. MirrorFace'in APT10 şemsiyesi altında bir alt grup olduğuna inanıyoruz" dedi.

MirrorFace, AsyncRAT'in büyük ölçüde özelleştirilmiş varyantını kullanmış ve kötü amaçlı yazılımı, RAT'i Windows Sandbox içinde çalıştıran ve yeni gözlemlenen karmaşık yürütme zincirine yerleştirmiş. Bu yöntem, kötü niyetli faaliyetleri, güvenlik kontrollerinin tehlikeyi tespit etme yeteneklerinden gizler. Kötü amaçlı yazılıma paralel MirrorFace, uzak tüneller özelliğini kötüye kullanmak için Visual Studio Kodunu da dağıtmaya başlar. Uzak tüneller MirrorFace'in ele geçirilen makineye erişim kurmasını, keyfi kod çalıştırmasını ve diğer araçları sunmasını sağlar. MirrorFace, mevcut amiral gemisi arka kapısı HiddenFace'i kullanmaya devam ederek tehlikeye atılmış makinelerdeki kalıcılığı güçlendirir.

ESET, Haziran ve Eylül 2024 tarihleri arasında MirrorFace'in çok sayıda hedefli kimlik avı kampanyası yürüttüğünü gözlemledi. ESET verilerine göre, saldırganlar hedefleri kötü amaçlı ekleri veya bağlantıları açmaları için kandırarak ilk erişimi elde etti, ardından kötü amaçlı yazılımlarını gizlice yüklemek için yasal uygulama ve araçlardan yararlandı. AkaiRyū Operasyonu'nda MirrorFace, ANEL'i çalıştırmak için McAfee tarafından geliştirilen uygulamaları ve JustSystems tarafından geliştirilen uygulamayı kullandı. ESET, MirrorFace'in verileri nasıl dışa aktardığını, verilerin dışarı sızıp sızmadığını, nasıl sızdığını belirleyemedi. ESET Research, Orta Avrupa diplomatik enstitüsü ile iş birliği yaptı, adli soruşturma gerçekleştirildi. Bu analizin sonuçlarını Ocak 2025'teki Ortak Güvenlik Analistleri Konferansı'nda (JSAC) sundu.