MirrorFace APT
Japonya Ulusal Polis Teşkilatı (NPA) ve Ulusal Olay Hazırlığı ve Siber Güvenlik Stratejisi Merkezi (NCSC), MirrorFace olarak bilinen Çin bağlantılı bir tehdit aktörünü uzun süredir devam eden bir siber saldırı kampanyası düzenlemekle suçladı. Grubun 2019'dan beri Japonya genelindeki kuruluşları, işletmeleri ve bireyleri hedef alarak ulusal güvenlik ve ileri teknolojiyle ilgili bilgileri çalmayı amaçladığı iddia ediliyor.
İçindekiler
MirrorFace’in APT10’a Bağlantıları
MirrorFace, Earth Kasha olarak da bilinir, iyi bilinen APT10 tehdit aktörü içinde bir alt grup olduğuna inanılmaktadır. Grup, hedeflerine ulaşmak için ANEL, LODEINFO ve NOOPDOOR (HiddenFace olarak da bilinir) gibi karmaşık araçlar kullanarak Japon varlıklarına sistematik olarak saldırmıştır.
Spear-Phishing ve Hedef Genişlemesi
Araştırmacılar, MirrorFace'in Japonya'daki bireyleri ve kuruluşları hedef alarak ANEL ve NOOPDOOR'u devreye soktuğu bir spear-phishing kampanyasının ayrıntılarını ortaya çıkardı. Yıllar içinde, Tayvan ve Hindistan'daki varlıkları hedef alan benzer operasyonlar gözlemlendi ve bu da grubun daha geniş stratejik çıkarını gösteriyor.
Üç Büyük Saldırı Kampanyası Belirlendi
NPA ve NCSC'ye göre MirrorFace'in faaliyetleri üç ana kampanyaya ayrılmıştır:
- Kampanya A (Aralık 2019 – Temmuz 2023 ): Bu aşama düşünce kuruluşları, hükümet kurumları, politikacılar ve medya kuruluşlarına odaklandı. Saldırganlar, LODEINFO , NOOPDOOR ve LilimRAT olarak bilinen Lilith RAT'ın özelleştirilmiş bir sürümünü iletmek için hedefli kimlik avı e-postaları kullandı.
- Kampanya B (Şubat – Ekim 2023) : Bu dönemde MirrorFace, odağını yarı iletken, üretim, iletişim, akademik ve havacılık sektörlerine kaydırdı. Grup, Array Networks, Citrix ve Fortinet'in internete bakan cihazlarındaki bilinen güvenlik açıklarını kullanarak ağlara sızdı ve Cobalt Strike Beacon, LODEINFO ve NOOPDOOR'u dağıttı.
- Kampanya C (Haziran 2024'ten itibaren): En son saldırılar öncelikle akademisyenleri, düşünce kuruluşlarını, politikacıları ve medya kuruluşlarını hedef aldı. Saldırganlar bu sefer ANEL'i (UPPERCUT olarak da bilinir) iletmek için hedefli kimlik avı e-postaları kullanmaya devam ediyor.
Kaçınma Teknikleri ve Gizli İletişimler
MirrorFace, kalıcılığı sürdürmek ve tespit edilmekten kaçınmak için gelişmiş teknikler kullanmıştır. Dikkat çekici bir taktik, gizli bağlantılar kurmak için Visual Studio Code uzak tünellerini kullanmayı içerir ve tehdit aktörlerinin ağ savunmalarını aşmasını ve tehlikeye atılmış sistemler üzerinde uzaktan kontrolü sürdürmesini sağlar.
Gizli Yürütme İçin Windows Sandbox
Araştırmacılar ayrıca saldırganların Windows Sandbox ortamında tehdit edici yükler yürüttüğünü keşfetti. Bu yaklaşım, kötü amaçlı yazılımın antivirüs yazılımı veya Endpoint Detection and Response (EDR) sistemleri tarafından algılanmadan çalışmasına olanak tanır. Dahası, ana bilgisayar kapatıldığında veya yeniden başlatıldığında, kötü amaçlı yazılımın tüm izleri silinir ve geride hiçbir adli kanıt kalmaz.
Ulusal Güvenliğe Yönelik Süregelen Tehdit
MirrorFace tarafından kullanılan ısrarcı ve gelişen taktikler, Japonya'nın karşı karşıya olduğu devam eden siber tehditleri vurgulamaktadır. Kritik sektörleri hedef alarak ve karmaşık kaçınma stratejileri kullanarak, grup ulusal güvenlik ve teknolojik ilerlemeler için ciddi bir meydan okuma oluşturmaya devam etmektedir. Yetkililer, kuruluşları spear-phishing girişimlerine karşı uyanık olmaya ve gelişen tehditlere karşı siber güvenlik savunmalarını güçlendirmeye çağırmaktadır.
