.png)
MirrorFace, Japonya'ya Yönelik Çok Yıllı Siber Saldırılarda ANEL ve NOOPDOOR'dan Yararlanıyor
Japonya Ulusal Polis Teşkilatı (NPA) ve Ulusal Olaylara Hazırlık ve Siber Güvenlik Stratejisi Merkezi (NCSC), MirrorFace adlı Çin bağlantılı bir tehdit aktörünü 2019'dan bu yana ülkedeki kuruluşları, işletmeleri ve bireyleri hedef alan kalıcı bir saldırı kampanyası düzenlemekle suçladı.
Ajanslar, saldırı kampanyasının birincil amacının Japonya'nın ulusal güvenliği ve ileri teknolojisi ile ilgili bilgileri çalmak olduğunu söyledi.
Earth Kasha olarak da izlenen MirrorFace, APT10 içinde bir alt grup olarak değerlendiriliyor. Genellikle ANEL, LODEINFO ve NOOPDOOR (diğer adıyla HiddenFace) gibi araçlardan yararlanan, sistematik olarak çarpıcı Japon kuruluşlarının bir geçmişine sahiptir.
Geçen ay Trend Micro, ANEL ve NOOPDOOR'u teslim etmek amacıyla Japonya'daki bireyleri ve kuruluşları hedef alan bir hedef odaklı kimlik avı kampanyasının ayrıntılarını açıkladı. Son yıllarda gözlemlenen diğer kampanyalar da Tayvan ve Hindistan'a yöneliktir.
NPA ve NCSC'ye göre, MirrorFace tarafından düzenlenen saldırılar genel olarak üç ana kampanyaya ayrılmıştır:
- Kampanya A (Aralık 2019'dan Temmuz 2023'e kadar), LODEINFO, NOOPDOOR ve LilimRAT (açık kaynaklı Lilith RAT'ın özel bir sürümü) sunmak için hedef odaklı kimlik avı e-postaları kullanan düşünce kuruluşlarını, hükümetleri, politikacıları ve medya kuruluşlarını hedefliyor)
- B Kampanyası (Şubat-Ekim 2023 arası), Cobalt Strike Beacon, LODEINFO ve NOOPDOOR'u sunmak için ağları ihlal etmek için internete açık Array Networks, Citrix ve Fortinet cihazlarındaki bilinen güvenlik açıklarından yararlanarak yarı iletken, üretim, iletişim, akademik ve havacılık sektörlerini hedefliyor
- Akademiyi, düşünce kuruluşlarını, politikacıları ve medya kuruluşlarını hedefleyen Kampanya C (Haziran 2024'ten itibaren), ANEL (diğer adıyla UPPERCUT) göndermek için hedef odaklı kimlik avı e-postaları kullanıyor
Saldırılar ayrıca, gizli bağlantılar kurmak için Visual Studio Code uzak tünellerinin kullanılmasıyla da karakterize edilir, böylece tehdit aktörlerinin ağ savunmasını atlamasına ve güvenliği ihlal edilmiş sistemleri uzaktan kontrol etmesine olanak tanır.
Ajanslar ayrıca, saldırganların Windows Sandbox içindeki ana bilgisayarda depolanan kötü amaçlı yükleri gizlice yürüttükleri ve en az Haziran 2023'ten beri bir komuta ve kontrol sunucusuyla iletişim kurdukları örnekleri gözlemlediklerini kaydetti.
NPA ve NCSC, "Bu yöntem, kötü amaçlı yazılımların ana bilgisayardaki virüsten koruma yazılımı veya EDR tarafından izlenmeden yürütülmesine izin verir ve ana bilgisayar kapatıldığında veya yeniden başlatıldığında, Windows Sandbox'taki izler silinir, böylece kanıtlar geride kalmaz" dedi.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Microsoft, zararlı içerik oluşturmak için Azure AI'den yararlanan bilgisayar korsanlığı grubuna dava açtı
RedDelta, Casusluk Kampanyalarında Moğolistan ve Tayvan'ı Hedef Almak için PlugX Kötü Amaçlı Yazılım Dağıtıyor
MirrorFace, Japonya'ya Yönelik Çok Yıllı Siber Saldırılarda ANEL ve NOOPDOOR'dan Yararlanıyor
Yeni EAGERBEE Varyantı, Gelişmiş Arka Kapı Yeteneklerine Sahip İSS'leri ve Hükümetleri Hedefliyor
CISA: Hazine Siber Saldırısından Daha Geniş Federal Etki Yok, Soruşturma Devam Ediyor
FireScam Android Kötü Amaçlı Yazılımı, Verileri Çalmak ve Cihazları Kontrol Etmek İçin Telegram Premium Gibi Görünüyor
Düzinelerce Chrome Uzantısı Hacklendi ve Milyonlarca Kullanıcıyı Veri Hırsızlığına Maruz Bıraktı
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı