Expo 2025 Yemiyle Siber Saldırı: MirrorFace Avrupa'daki İlk Hedefini Belirledi
MirrorFace APT grubu, Expo 2025’i yem olarak kullanarak Orta Avrupa’daki bir diplomatik enstitüye siber casusluk saldırısı düzenledi. ESET, saldırının detaylarını açıkladı.
Editör
Expo 2025 Yemiyle Siber Saldırı: MirrorFace Avrupa'daki İlk Hedefini Belirledi
AcilHost.Net / İstanbul
Çin bağlantılı MirrorFace APT grubu, Japonya'nın Osaka kentinde düzenlenecek Expo 2025 etkinliğini yem olarak kullanarak Orta Avrupa'daki bir diplomatik enstitüye yönelik siber casusluk operasyonu düzenledi. Bu saldırı, MirrorFace’in ilk kez Avrupa merkezli bir kuruluşa sızma girişiminde bulunduğunu gösteriyor.
Diplomatik Enstitüye Spearphishing Saldırısı
MirrorFace operatörleri, hedef alınan enstitü ile Japon bir sivil toplum kuruluşu arasındaki önceki etkileşime dayalı sahte bir e-posta oluşturarak spearphishing yöntemiyle saldırı düzenledi. Siber güvenlik şirketi ESET, saldırganların Japonya’daki kuruluşlara yönelik faaliyetleriyle tanındığını ancak Avrupa’daki bir diplomatik kurumu ilk kez hedef aldığını belirtti.
Saldırganlar, Expo 2025 ile ilgili sahte belgeler içeren kötü niyetli parola korumalı bir Word belgesi kullanarak hedeflerine erişim sağladı. Kampanya, ESET tarafından AkaiRyū Operasyonu (RedDragon) olarak adlandırıldı ve MirrorFace'in saldırı taktiklerini ve yöntemlerini güncellediğini ortaya koydu.
APT10 Bağlantısı ve MirrorFace’in Yeni Yöntemleri
ESET'in araştırmasına göre, MirrorFace, yıllar önce terk edildiği düşünülen ve APT10’a özel olduğu sanılan ANEL (UPPERCUT) adlı bir arka kapıyı yeniden kullanmaya başladı. ANEL, dosya manipülasyonu, yük yürütme ve ekran görüntüsü alma gibi komutları destekliyor. Bu gelişme, MirrorFace’in APT10’un bir alt grubu olduğuna dair yeni kanıtlar sunuyor.
Ayrıca MirrorFace, güvenlik önlemlerini atlatmak için AsyncRAT'in özelleştirilmiş bir sürümünü kullandı. Bu kötü amaçlı yazılım, Windows Sandbox içinde çalıştırılarak tespit edilmesini zorlaştırıyor. Grup ayrıca Visual Studio Code’un uzak tüneller özelliğini kötüye kullanarak hedef sistemlere gizlice erişim sağladı ve mevcut HiddenFace arka kapısını kullanarak uzun vadeli sızma girişimlerini sürdürdü.
MirrorFace'in Avrupa'daki İlk Saldırısı
ESET araştırmacıları, Haziran-Eylül 2024 arasında MirrorFace’in çok sayıda hedefli kimlik avı kampanyası yürüttüğünü gözlemledi. Saldırganlar, McAfee ve JustSystems tarafından geliştirilen yasal yazılımları kullanarak ANEL arka kapısını çalıştırmayı başardı.
ESET, saldırıya uğrayan Orta Avrupa’daki diplomatik enstitüyle iş birliği yaparak adli bir inceleme gerçekleştirdi ve bu analiz sonuçlarını Ocak 2025'teki Ortak Güvenlik Analistleri Konferansı’nda (JSAC) sundu. Ancak, MirrorFace’in ele geçirdiği verileri dışa aktarıp aktarmadığı henüz kesin olarak belirlenemedi.
Siber Güvenlik İçin Alınması Gereken Önlemler
MirrorFace ve benzeri tehdit gruplarına karşı korunmak için diplomatik kuruluşlar ve özel şirketler şu önlemleri almalı:
-
E-posta güvenliği güçlendirilmeli: Kimlik avı saldırılarına karşı gelişmiş spam filtreleme sistemleri kullanılmalı.
-
Sistem güncellemeleri düzenli yapılmalı: İşletim sistemleri ve güvenlik yazılımları güncel tutulmalı.
-
Çok faktörlü kimlik doğrulama (MFA) uygulanmalı: Yetkisiz erişimleri önlemek için kritik sistemlerde MFA zorunlu hale getirilmeli.
-
Çalışanlara siber güvenlik eğitimi verilmeli: Potansiyel tehditlere karşı farkındalık artırılmalı.
MirrorFace'in yeni hedefleri ve saldırı yöntemleri, küresel ölçekte diplomatik ve kurumsal güvenlik önlemlerinin artırılması gerektiğini bir kez daha ortaya koyuyor.
