ROAMINGMOUSE Kötü Amaçlı Yazılım
MirrorFace olarak bilinen bir ulus-devlet tehdit aktörü, yakın zamanda Japonya ve Tayvan'daki hükümet kurumlarını ve kamu kuruluşlarını hedef alan siber casusluk kampanyalarıyla ilişkilendirildi. Çin ile uyumlu olan ve Earth Kasha olarak da bilinen bu aktör, APT10 içinde bir alt küme olarak faaliyet gösteriyor. Mart 2025 itibarıyla güvenlik araştırmacıları, casusluk için gelişmiş kötü amaçlı yazılım araçlarını kullanmaları da dahil olmak üzere grubun faaliyetleri hakkında yeni ayrıntılar ortaya koydu.
İçindekiler
AkaiRyū Harekatı: Önceki Bir Saldırı Ortaya Çıkarıldı
Japonya ve Tayvan'da devam eden operasyonlara ek olarak, Earth Kasha, Ağustos 2024'te Avrupa Birliği'ndeki bir diplomatik kuruluşa yönelik bir siber saldırı olan AkaiRyū Operasyonu'nun da arkasındaydı. Bu operasyon, UPPERCUT olarak da bilinen ANEL arka kapısının konuşlandırılmasını içeriyordu ve aktörün hassas hedeflere yetkisiz erişim elde etme konusundaki karmaşık taktiklerini ortaya koyuyordu.
Saldırı Stratejisi: Aldatıcı Bir Kötü Amaçlı Yazılım Zinciri
MirrorFace operasyonu, bazıları tehlikeye atılmış meşru hesaplardan gönderilen mızraklı kimlik avı e-postalarıyla başlar. Bu e-postalar, tıklandığında bir ZIP dosyası indiren bozuk bir Microsoft OneDrive URL'si içerir. ZIP arşivinin içinde, bir Excel belgesi ve ROAMINGMOUSE kod adlı makro etkinleştirilmiş bir damlalık, kötü amaçlı yazılımın dağıtım aracı olarak hizmet eder. MirrorFace tarafından geçen yıldan beri kullanılan ROAMINGMOUSE, birkaç kötü amaçlı bileşen içeren ek bir ZIP dosyasını çözer ve bırakır.
Kötü Amaçlı Yazılım Düşüşünün Temel Bileşenleri:
- JSLNTOOL.exe, JSTIEE.exe veya JSVWMNG.exe: Meşru ikili dosyalar
- JSFC.dll (ANELLDR): Kötü amaçlı bir DLL
- Şifrelenmiş ANEL Yükü: Ana arka kapı
- MSVCR100.dll: Meşru bir DLL bağımlılığı
Kötü amaçlı yazılım bırakıldığında, explorer.exe'yi kullanarak meşru bir yürütülebilir dosyayı başlatıyor ve sahte DLL ANELLDR aracılığıyla ANEL arka kapısını yan yüklüyor.
ANEL’deki Gelişmiş Özellikler: Siber Casusluğun Yeni Dönemi
2025 kampanyasında kullanılan ANEL arka kapısı önemli bir yükseltme içeriyor: Beacon Object Files'ın (BOF'lar) bellek içi yürütülmesini destekleyen yeni bir komut. BOF'lar, Cobalt Strike aracısının yeteneklerini genişletmek ve istismar sonrası özellikleri geliştirmek için tasarlanmış küçük C programlarıdır. Kurulduktan sonra arka kapı, Earth Kasha'nın ekran görüntüleri almasını, kurbanın ortamını incelemesini ve daha fazla istismar için işlem listeleri ve alan adı bilgileri toplamasını sağlar.
SharpHide ve NOOPDOOR’dan yararlanma
Bazı durumlarda, Earth Kasha'nın arkasındaki tehdit aktörleri, NOOPDOOR arka kapısının (HiddenFace olarak da bilinir) yeni bir sürümünü başlatmak için açık kaynaklı bir araç olan SharpHide'ı kullanmıştır. Bu arka kapı, Komuta ve Kontrol (C2) iletişimi için kullanılan IP adresi aramalarını gizlemeye yardımcı olan DNS-over-HTTPS (DoH) desteğiyle tespit edilmekten kaçınmak için tasarlanmıştır.
Devam Eden Tehdit ve Dikkat Gerekli
Earth Kasha, hassas hükümet verileri, fikri mülkiyet ve erişim kimlik bilgileri de dahil olmak üzere yüksek değerli varlıkları hedef alan aktif ve kalıcı bir tehdit olmaya devam ediyor. Özellikle yönetişim ve altyapı ile ilgili sektörlerdeki işletmeler ve kuruluşlar, bu tür gelişmiş, kalıcı saldırılara karşı korunmak için sağlam siber güvenlik önlemlerini uygulamaya devam etmelidir.
