MirrorFace operatörleri, enstitü ile bir Japon sivil toplum kuruluşu arasında daha önce çalıştırılabilir bir erişime açık bulunan bir e-posta mesajı hazırlayarak hedef odaklı kimlik avı saldırısı düzenlediler. Bu saldırı sırasında tehdit aktörü, Japonya'nın Osaka'da düzenlenecek olan World Expo 2025'i bir yem olarak kullandı. Bu Avrupa biriminin enstitüsüne yapılan saldırıdan önce MirrorFace, bilinmeyen bir şekilde gönderilen kötü niyetli, parolayla oluşturulmuş bir Word belgesini kullanarak Japon araştırma enstitüsündeki iki hücreyi hedef aldı. AkaiRyū Operasyonu'nun analizi sırasında ESET, MirrorFace'in TTP'lerini ve araçlarını önemli ölçüde yenilediğini keşfetti. MirrorFace, yıllar önce terk edildiğine inanılan ve APT10'a özel olduğu düşünülen bir arka kapı olan ANEL'i (UPPERCUT olarak da adlandırılarak) kullanmaya başladı. Ancak son durumu, ANEL'in yeniden piyasaya sürülmesinin güçlü bir şekilde ortaya çıktığını gösteriyor. ANEL dosya manipülasyonu, yük yayımı ve ekran görüntüsü almaya yönelik temel komutları desteklemektedir.

AkaiRyū kampanyasını araştıran ESET araştırmacısı Dominik Breitenbacher yaptığı şunları söyledi: "MirrorFace bir Orta Avrupa stratejisi enstitüsü hedef aldı. Bildiğimiz bu, MirrorFace'in Avrupa'daki bir tesiste hedef alınan ilk saldırı. ANEL'in kullanımı MirrorFace ve APT10 arasındaki potansiyel bağlantıya devam eden çözümlerde da yeni şeyler sunuyor. MirrorFace'in ANEL kullanımı çalışıyor, benzer hedefleme ve kötü amaçlı yazılım kodları gibi daha önce bilinen diğer bilgilerle birlikte saklamamızda bir değişiklik değişikliğine neden oldu. Artık MirrorFace'in APT10 şemsiyesi altında bir alt grup halinde görünmesi."

Buna ek olarak MirrorFace, AsyncRAT'in büyük ölçüde özelleştirilmiş bir özelliklerini kullanmış ve bu kötü amaçlı yazılımı, RAT'i Windows Sandbox içinde çalıştıran ve yeni gözlemlenen karmaşık bir yürütme zincirine yerleştirmiş. Bu yöntem, kötü niyetli faaliyetler, güvenlik kontrollerinin tehlikeyi tespit etme yeteneğinden etkili bir şekilde gizler. Kötü amaçlı yazılıma paralel olarak MirrorFace, uzak tüneller özelliklerini genişletmek için Visual Studio Kodunu (VS Code) da dağıtmaya başlar. Uzak tüneller MirrorFace'in elektrifikasyonuna makineye gizlice erişim kurmasını, anahtar kodu çalıştırmasını ve diğer araçların sunmasını sağlar. Son olarak MirrorFace, mevcut amiral gemisi arka kapısı HiddenFace'i kullanmaya devam ederek, tehlike atılmış makinelerdeki kalıcılığı daha da güçlendiriyor.

ESET, Haziran ve Eylül 2024 tarihleri arasında MirrorFace'in çok sayıda hedefli kimlik avı kampanyasını yürütmesini gözlemledi. ESET sistemlerine göre, saldırganlar öncelikle hedeflenen kötü amaçlı ekleri veya bağlantıları açmak için kandırarak ilk erişim elde etti, ardından kötü amaçlı yazılımlarını gizlice yüklemek için yasal uygulamalardan ve araçlardan yararlandı. Özellikle AkaiRyū Operasyonu'nda MirrorFace, ANEL'i çalıştırmak için hem McAfee tarafından çalıştırma uygulamalarını hem de JustSystems tarafından başlatmayı bir uygulama kullandı. ESET, MirrorFace'in verilerinin nasıl aktarıldığını ve verilerin dışarıya sızmadığını ya da nasıl sızmadığını belirleyemedi. ESET Research, etkilenen Orta Avrupa birimi enstitüsü ile iş birliği yaptı ve adli bir soruşturma başlattı. ESET Research, bu analizin sonuçlarını Ocak 2025'teki Ortak Güvenlik Analistleri Konferansı'nda (JSAC) sundu.

Detaylı bilgi:

https://www.welivesecurity.com/en/eset-research/operation-akairyu-mirrorface-invites-europe-expo-2025-revives-anel-backdoor/